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内 容 提要 


本 书 深入 浅 出 地 介绍 了 TCP/IP 协 议 的 入 门 知识 。 全 书 分 为 6 个 部 
分 ， 共 24 章 : 首先 从 TCP/IP 基 础 知识 开始 ; 接着 着 重 介绍 了 TCP/IP 协 
议 系统 ， 然 后 介绍 了 TCP/IP 连 网 的 相关 知识 ， 第 4 部 分 对 TCP/IP 中 使 用 
的 工具 进行 了 讲解 ; 第 5 部 分 是 与 Internet 相 关 的 内 容 ; 第 6 部 分 则 介绍 
了 与 运行 中 的 TCP/IP 相 关 的 内 容 ， 比 如 Web 服 务 、 电 子 邮件 、 云 计算 
Fo 

本 书 叙 述 简明 扼要 ， 通 俗 易 懂 ， 不 但 适合 于 计算 机 网 络 和 Internet 
用 户 阅读 参考 ， 也 可 作为 大 专 院 校 有 关 专 业 师 生 的 教学 参考 书 或 者 培 


训 班 教材 。 


关于 作者 


Joe Casad 是 一 名 工程 师 、 作 家 和 编辑 ， 在 计算 机 网 络 和 系统 管理 
方面 有 大 量 著作 ， 已 经 独立 或 合作 编写 了 12 本 关于 计算 机 和 网 络 的 图 
书 。 他 当前 是 《Linux Pro Magazine》 和 ADMIN Online 的 首席 编辑 。 
在 此 之 前 ， 他 是 《C/C++ User Journal》 的 编辑 和 UnixReview.com 的 资 
深 编辑 。 


欢迎 阅读 本 书 ! 本 书 为 新 手提 供 了 针对 TCP/IP 的 清晰 、 简 明 的 介 
绍 ， 想 要 深入 了 解 TCP/IP 的 用 户 也 是 本 书 的 读者 对 象 。 本 书 与 那些 围 
绕 着 困难 主题 进行 讲解 的 网 络 入 门 图 书 不 同 ， 它 会 为 读者 深入 讲解 
TCP/IP 技 术 。 读 者 将 会 学 到 TCP/IP 协 议 簇 中 的 所 有 重要 协议 ， 并 会 得 
知 TCP/IP 协议 簇 是 如 何 成 为 包含 丰富 工具 和 服务 的 生态 系统 (也 就 是 
我 们 所 称 的 Internet) 的 构成 基石 的 。 本 书 第 5 版 包含 了 TCP/IP 近 期 发 
展 的 一 些 新 内 容 ， 并 对 DNS 安全 、IPv6 和 云 计 算 等 主题 进行 了 详细 讲 
解 。 读 者 会 在 本 书 中 发 现 有 关 配 置 、REST Web 服 务 、HTML5， 以 及 
TCP/IP 近 期 发 展 的 一 些 新 信息 。 

每 一 章 都 需要 一 小 时 吗 

每 章 的 内 容 都 可 以 让 读者 在 一 小 时 之 内 完成 ， 其 内 容 短 得 都 可 以 
一 下 子 读 完 。 事 实 上 ， 读 者 在 一 小 时 之 内 不 仅 可 以 阅读 完 一 章 的 内 
容 ， 还 有 足够 的 时 间 来 做 笔记 和 重读 比较 复杂 的 小 节 。 

如 何 使 用 本 书 

本 书 致力 于 通过 一 些 简单 、 易 理解 的 会 话 来 帮助 读者 学 习 某 个 主 
题 。 本 书 分 为 6 个 部 分 ， 每 一 部 分 都 会 使 读者 进一步 熟练 掌握 TCP/IP。 

> 第 1 部 分 ,，“TCP/IP 基 础 知识 ”， 介 绍 TCP/IP 和 TCP/IP 协 议 栈 。 

> 第 2 部 分 ,，“TCP/IP 协 议 系统 ”， 详 细 介 绍 TCP/IP 的 每 一 个 协议 
E: 网 络 访问 层 、 网 际 层 、 传 输 层 和 应 用 层 。 内 容 包 括 IP 寻 址 和 子 网 
划分 、 物 理 网 络 和 应 用 服务 、TCP/IP 每 一 层 上 运行 的 协议 。 

> 第 3 部 分 ,，“TCP/IP 连 网 ”"， 介 绍 支持 TCP/IP 网 络 的 设备 、 服 务 
和 工具 ， 内 容 包括 路 由 选择 、 网 络 硬件 、DHCP、DNS 和 IPv6。 


> 第 4 部 分 ,“ 工 具 ”， 介 绍 用 于 配置 、 管 理 和 诊断 TCP/IP 网 络 的 
一 些 常用 工具 ， 内 容 包 括 ping、Netstat、FTP、Telnet 和 其 他 网 络 工 
具 。 你 可 以 大 致 了 解 TCP/IP 是 如 何 适 用 于 某 些 重要 服务 的 (比如 Web 
服务 器 、LDAP 身 份 验证 服务 器 和 数据 库 服 务 器 ) o 

> 第 5 部 分 , “Internet”， 介 绍 世界 上 最 大 的 TCP/P 网 络 : 
Internet。 内 容 包 括 Internet 的 结构 、HTTP、HTML、XML、 电 子 邮 件 
和 Internet 流传 输 ， 此 外 还 包括 Web 技术 如 何 通 过 演化 发 展 来 提供 新 
一 代 的 服务 。 

> 第 6 部 分 , “运行 中 的 TCP”， 通 过 提供 一 个 难忘 的 案例 研究 来 
向 读者 展示 ，TCP/IP 的 组 件 是 如 何在 真实 中 的 环境 中 交互 的 。 

本 书 中 介绍 的 概念 ， 就 像 TCP/IP 本 身 一 样 ， 独 立 于 任何 操作 系 
统 ， 源 自 于 “Internet 请 求 注解 (RFC) ”中 定义 的 标准 。 

本 书 是 如 何 组 织 的 

本 书 的 每 一 章 由 一 段 简 要 介绍 开始 ， 并 列 出 本 章 的 主要 目标 。 另 
外 还 有 下 面 这 些 组 成 元 素 。 

主要 内 容 

每 章 的 主要 内 容 都 对 相应 主题 进行 清晰 、 易 懂 的 介绍 ， 利 用 图 形 
和 表格 来 帮助 解释 文字 所 描述 的 概念 ， 还 有 散布 于 文字 之 间 的 “注意 ” 
来 提供 补充 资料 ， 这 些 资料 包括 定义 、 描 述 或 警告 ， 可 以 帮助 读者 更 
好 理解 学 习 材 料 。 

注意 : 

这 些 补 充 材 料 进一步 说 明正 文中 讨论 的 概念 ， 它 可 能 是 额外 的 信 
息 ， 或 是 提供 了 一 个 例子 ， 但 一 般 都 不 是 理解 主题 所 必需 的 。 如 果 读 
者 时 间 有 限 ， 或 是 只 想 掌 握 基 本 内 容 ， 可 以 跳 过 这 些 内 容 。 

问 与 答 

每 章 的 最 后 部 分 都 有 一 些 问答 题 ， 其 目的 是 测试 读者 对 本 章 内 容 
的 理解 。 本 书 在 附录 A 中 提供 了 问题 的 答案 。 


测验 

此 外 ， 每 章 后 面 都 包含 一 个 由 问题 和 练习 组 成 的 测验 ， 旨 在 测试 
读者 对 本 章 知 识 的 理解 程度 ， 或 者 是 为 读者 提供 完成 一 个 特定 任务 的 
练习 。 在 完成 测验 中 的 某 些 练习 时 ， 即 使 你 没有 必要 的 软件 和 硬件 ， 


通过 阅读 这 些 练习 ， 也 会 有 助 于 理解 工具 如 何 应 用 于 真实 的 网 络 实 
Ho 
关键 术语 


每 章 都 会 包含 本 章 介 绍 的 一 些 重要 术语 。 这 些 关 键 术语 按照 字母 
排序 ， 依 次 出 现在 每 章 末 尾 。 
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第 1 章 什么 是 TCP/IP 
第 2 章 TCP/IP 的 工作 方式 


1 么 是 TCP/IP 


本 章 介 绍 如 下 内 容 : 
> 网 络 和 网 络 协议 ; 
> TCP/IP 的 历史 ，; 
> TCP/IP 的 重要 特性 。 
TCP/IP 是 一 类 协议 系统 ， 它 是 一 套 支 持 网 络 通 信 的 协议 集合 。 要 
回答 什么 是 协议 ， 首 先 必须 回答 什么 是 网 络 。 


本 章 将 介绍 网 络 的 概念 ， 并 解释 网 络 为 什么 需要 协议 。 此 外 ， 还 

将 介绍 TCP/IP 的 概念 、 功 能 及 其 历史 。 
学 完 本 章 后 ， 你 可 以 : 
> 定义 术语 “网 络 ”; 

解释 什么 是 网 络 协议 族 ; 
> 解释 什么 是 TCP/IP; 
> 讨论 TCP/IP 的 历史 ，; 
> 列 出 TCP/IP 的 一 些 重要 特性 ; 
> 了 解 监管 TCP/IP 和 Internet 的 组 织 ，; 


> 解释 RFC 是 什么 以 及 从 哪里 可 以 找到 它们 。 


1.1 we VW 


网 络 是 计算 机 或 类 似 计算 机 的 设备 之 间 通 过 常用 传输 介质 进行 通 
信 的 集合 。 通 常情 况 下 ， 传 输 介质 是 绝缘 的 金属 导线 ， 它 用 来 在 计算 
机 之 间 携 审 电 脉冲 ， 但 是 前 述 介 质 也 可 以 是 电话 线 ， 甚 至 没有 线路 
(比如 在 无 线 网 络 中 ) o 
无 论 计算 机 如 何 连接 ， 计算机 之 间 的 通信 过 程 都 需要 将 来 自 于 其 
一 台 计 算 机 的 数据 ，&nbsp; 通 过 传输 介质 传输 到 另外 一 台 计 算 机 。 
在 图 1.1 中 ， 计 算 机 A 必须 能 够 发 送 消 息 或 请 求 到 计算 机 B。 计 算 机 B 必 
须 能 够 理解 计算 机 A 的 消息 ， 并 通过 将 一 条 消息 发 回 计 算 机 A 来 进行 响 
Wo 


计算 机 A 计算 机 B 


= | = 


传输 介质 


图 1.1 典型 的 局 域 网 


计算 机 可 以 通过 一 个 或 多 个 应 用 程序 与 世界 进行 交互 ， 这 些 应 用 
程序 用 来 执行 特定 任务 和 管理 通信 过 程 。 在 现代 系统 中 ， 可 以 轻松 地 
实现 网 络 通信 ， 以 至 于 用 户 几 乎 感觉 不 到 它 的 存在 。 例 如 ， 当 你 在 网 
上 冲 沪 时 ， 你 的 Web 浏 览 器 正在 与 URL 中 指定 的 Web 服 务 器 进行 通 
信 。 当 你 在 Windows Explorer 或 Mac OS Finder 中 查看 邻居 计算 机 列表 
时 ， 这 些 位 于 局 域 网 中 的 计算 机 也 相互 通信 ， 以 表明 它们 的 存在 。 在 
任何 情况 下 ， 只 要 你 的 计算 机 隶属 于 一 个 网 络 ， 那 么 ， 该 计算 机 上 的 
应 用 程序 必须 能 够 与 该 网 络 中 其 他 计算 机 上 的 应 用 程序 相互 通信 。 

网 络 协议 就 是 一 套 通用 规则 ， 用 来 帮助 定义 复杂 数据 传输 的 过 
程 。 数 据 传输 从 一 台 计 算 机 上 的 应 用 程序 开始 ， 通 过 计算 机 网 络 硬 
件 ， 经 过 传输 介质 到 正确 目的 地 ， 然 后 上 传 到 目的 地 计算 机 网 络 硬 
件 ， 最 后 到 达 负 责 接收 的 应 用 程序 ( 见 图 1.2) o 


应 用 程序 应 用 程序 


HIRE 
网 络 层 网 络 层 
网 络 接 入 层 网 络 接 入 层 


图 1.2 网 络 协议 簇 的 规则 


TCP/IP 协 议定 义 了 网 络 通信 过 程 ， 更 重要 的 是 ， 定 义 了 数据 单元 
的 格式 和 内 容 ， 以 便 接收 计算 机 能 够 正确 解释 接收 到 的 消息 。TCP/IP 
及 其 相关 的 协议 构成 了 一 套 在 TCP/IP 网 络 中 如 何 处 理 、 传 输 和 接收 数 
据 的 完整 系统 ， 相 关 协 议 的 系统 ， 例 如 TCP/IP 协 议 ， 被 称 为 协议 簇 
(protocol suite) o 

确定 TCP/IP 传输 格式 和 过 程 的 实际 行为 是 由 厂商 的 TCP/IP 软件 
来 实现 的 。 例 如 ， Microsoft Windows 中 的 TCP/IP 软 件 使 得 安装 了 
Windows 的 计算 机 可 以 处 理 TCP/IP 格 式 的 数据 ， 并 参与 到 TCP/IP 网 络 
中 。 在 阅读 本 书 时 ， 应 该 了 解 下 列 区 别 。 

> TCP/IP 标 准 定义 了 TCP/IP 网 络 的 通信 规则 ; 


> TCP/IP 实 现 是 一 个 软件 组 件 ， 计 算 机 通过 它 参 与 到 TCP/IP 网 络 


中 。 
TCP/IP 标 准 的 目的 是 确保 所 有 厂商 提供 的 TCP/IP 实 现 都 能 够 很 好 
地 兼容 。 


ER: 在 谈论 到 TCP/IP 时 ，TCP/IP 标 准 和 TCP/IP 实 现 之 间 的 区 别 
往往 很 模糊 ， 有 时 会 误导 读者 。 例 如 ， 作 者 通常 会 讨论 到 为 其 他 层 提 
供 服务 的 TCP/TP 模 型 的 分 层 ， 实 际 上 ， 不 是 TCP/TP 模 型 提供 服务 ， 它 
只 是 定义 了 其 应 该 提供 的 服务 ， 而 真正 提供 这 些 服务 的 则 是 实现 了 
TCP/IP 的 厂商 软件 。 


1.2 TCP/IP 的 开发 


之 所 以 要 设计 TCP/IP， 这 是 由 它 作 为 Internet 协 议 系统 的 历史 角色 
决定 的 。Internet 与 其 他 高 技术 的 发 展 一 样 ， 最 初 是 由 美国 国防 部 主持 
研究 的 。 在 20 世 纪 60 年 代 末 期 ， 美 国 国防 部 开始 注意 到 军队 购置 了 大 
量 而 且 型 号 不 同 的 计算 机 。 有 些 计 算 机 不 能 够 联网 ， 而 有 些 计算 机 利 
用 一 些 不 兼容 的 专属 协议 就 可 以 编组 到 一 个 小 型 的 封闭 网 络 中 。 

这 里 的 “专属 (Proprietary) ”意味 着 该 技术 受到 私有 实体 (比如 一 
个 公司 ) 的 控制 。 该 实体 不 可 能 透露 该 协议 的 一 些 信 息 ， 这 样 用 户 就 
不 能 使 用 协议 连接 到 其 他 (比如 竞争 对 手 ) 的 网 络 协 议 中 。 

国防 部 的 官员 开始 考虑 是 否 可 以 利用 这 些 分 散 的 计算 机 来 共享 信 
息 。 这 些 有 远见 的 官员 创建 了 一 个 网 络 ， 被 美国 国防 部 高 级 研究 计划 
E (ARPA) 命名 为 ARPAnet。 

随 着 该 网 络 逐 渐 成 型 ， 由 Robert E.Kahn 和 Vinton Cerf 领 导 的 一 组 
计算 机 科学 人 员 ， 开 始 研 究 通用 的 协议 系统 ， 以 支持 多 种 硬件 并 提供 
弹性 的 、 可 宛 余 的 和 分 散 的 系统 ， 该 系统 可 以 在 全 球 范围 内 传输 大 量 
数据 。 这 个 研究 的 成 果 就 是 TCP/IP 协 议 簇 的 开端 。 当 美国 国家 科学 基 
金 会 想 建 立 连 接 到 研究 机 构 的 网 络 了 时， 它 采 纳 了 ARPAnet 的 协议 系 
统 ， 并 开始 构建 Internet。 伦 敦 大 学 学 院 和 其 他 欧洲 研究 结构 致力 于 
TCP/IP 早 期 的 开发 ， 第 一 个 跨越 大 西洋 的 通信 测试 开始 于 1975 年 左 
右 。 随 着 越 来 越 多 的 大 学 和 研究 机 构 的 加 入 ，Internet 现 象 开 始 传播 到 
世界 各 地 。 

在 随后 的 学 习 中 你 会 知道 ， 最 初 分 散 的 ARPAnet 已 经 演变 成 了 当 
前 的 TCP/IP 协 议 系统 ， 并 成 为 Internet 比 较 成 功 的 一 个 部 分 。TCP/IP 为 
这 个 分 散 的 (decentralized) 环境 提供 了 两 个 重要 的 特性 ， 如 下 所 示 。 

> 端点 验证 : 两 台 实 际 通信 的 计算 机 都 称 为 端点 ， 因 为 它们 位 于 
信息 链 的 末端 ， 负 责 确认 和 验证 传输 。 所 有 的 计算 机 都 是 对 等 操作 ， 


没有 监视 通信 的 中 心 模式 。 

> 动态 路 由 选择 : 节点 通过 多 条 路 径 连 接 ， 路 由 器 基于 当前 的 条 
件 选 择 一 条 路 径 来 传输 数据 。 本 书后 面 会 详细 介绍 路 由 选择 及 其 路 由 
路 径 。 

个 人 计算 机 的 革命 

Y Internet 开始 流行 的 时 候 ， 大 多 数 计 算 机 是 多 用 户 系统 。 位 于 
一 个 办 公 室 (或 园区 ) 的 多 个 用 户 通过 称 之 为 终端 的 文本 屏幕 界面 设 
备 连 接 到 一 台 计 算 机 中 。 尽 管用 户 之 间 的 工作 相互 独立 ， 但 实际 上 他 
们 访问 的 是 同一 台 计 算 机 ， 而 且 这 一 台 计 算 机 只 需要 一 条 Internet 连 
接 来 向 一 大 组 用 户 提 供 服务 。 个 人 计算 机 在 20 世 纪 80 年 代 和 90 年 代 的 
兴起 改变 了 这 一 局 面 。 

在 个 人 计算 机 的 早期 ， 大 多 数 用 户 没 有 必要 为 连 网 而 费心 。 但 是 
随 着 Internet 的 发 展 超出 了 其 最 初 的 学 术 目的 进入 民间 之 后 ， 使 用 个 
人 计算 机 的 用 户 开 始 寻 找 接 入 Internet 的 方法 。 一 种 方法 是 使 用 modem 
拨号 连接 ， 它 是 通过 一 条 电话 线 来 提供 网 络 连 接 的 。 

但 是 用 户 还 希望 能 够 与 办 公 室 中 的 其 他 计算 机 连接 起 来 ， 以 达到 
共享 文件 和 访问 外 围 设备 的 目的 。 为 了 满足 这 一 需求 ， 局 域 网 (Local 
Area Network, LAN) 这 一 网 络 概念 登 上 舞台 。 

早期 的 LAN 协 议 不 提供 Internet 和 连接 ， 而 且 是 围绕 着 专 有 的 协议 系 
统 来 设计 的 。 很 多 协议 不 支持 任何 类 型 的 路 由 选择 。 位 于 一 个 工作 组 
的 计算 机 使 用 这 些 专 有 协议 中 的 其 中 一 种 相互 通信 ， 用 户 要 么 不 使 用 
Internet， 要 么 就 是 通过 拨号 线路 单独 连接 Interneto KAA Internet 服 务 
提供 商 数量 的 增加 ， 接 入 Internet 的 费用 也 逐渐 降低 ， 各 个 公司 开始 考 
虑 采用 一 种 永久 、 快 速 的 Internet 连 接 ， 而 且 这 种 连接 可 以 永远 在 线 。 
多 种 解决 方案 应 运 而 生 ， 它 们 可 以 让 LAN 用 户 接 入 到 基于 TCP/IP 的 
Internet。 为 了 让 这 些 局 域 网 接 入 到 Internet， 可 以 使 用 专门 的 网 关 来 进 
行 必 要 的 协议 转换 。 然 而 ， 随 着 万 维 网 的 成 长 ， 催 生 了 终端 用 户 与 


Internet 的 连接 需求 ， 这 使 得 TCP/IP 更 为 必要 ， 而 诸如 AppleTalk、 
NetBEUI 和 Novell 的 IPX/SPX 这 样 的 LAN 协 议 则 表 失 了 用 武之 地 。 

包括 Apple 和 Microsoft 在 内 的 操作 系统 厂商 开始 将 TCP/IP 作 为 局 域 
网 、Internet 的 默认 协议 。TCP/IP 也 在 UNIX 系 统 中 成 长 起 来 ， 而 且 所 
有 的 UNIX/Linux 版 本 都 可 以 流畅 地 运行 TCP/IP。 最 终 ，TCP/IP 成 为 适 
用 于 小 到 小 型 办 公 室 ， 大 到 大 型 数据 中 心 的 连 网 协议 。 

读者 在 第 3 章 将 知道 ， 为 了 与 LAN 相 适 应 ， 厂 商 在 实现 硬件 相 
关 的 协议 (而 且 这 些 协议 是 TCP/IP 的 基础 ) 时 ， 已 经 进行 了 大 量 的 创 
新 。 


1.3 TCP/IP 的 特性 


TCP/IP 包 括 许多 重要 的 特性 ， 读 者 将 在 本 书 中 学 习 到 这 些 特性 。 
请 特别 注意 TCP/IP 协 议 簇 处 理 以 下 问题 的 方式 : 

> 逻辑 编 址 ，; 

> 路 由 选择 ; 


> 名 称 解析 5 
> 错误 控制 和 流量 控制 |，; 
> 应 用 支持 。 


这 些 问题 是 TCP/IP 的 核心 。 下 面 将 介绍 这 些 重 要 的 特性 ， 其 细节 
将 在 本 书后 面 的 章节 中 讲解 。 


1.3.1 逻辑 编 址 


网 络 适配器 有 一 个 唯一 的 物理 地 址 。 在 以 太 网 的 例子 中 ， 当 适 配 
器 在 出 厂 时 ， 通 常会 为 其 分 配 一 个 物理 地 址 ， 这 个 物理 地 址 有 时 候 称 
为 MAC 地 址 。 当 然 ， 当 前 有 些 设备 提供 了 修改 该 物理 地 址 的 方法 。 
在 LAN 中， 低层 的 与 硬件 相关 的 协议 使 用 适配器 的 物理 地 址 在 物理 
网 络 中 传输 数据 。 现 在 有 多 种 类 型 的 网 络 ， 而 且 它 们 传输 数据 所 使 用 
的 方法 也 不 相同 。 例 如 ， 在 基本 的 以 太 网 中 ， 计 算 机 直接 在 传输 介质 
至 上 发 送 消 息 。 每 台 计 算 机 的 网 络 适配器 监听 局 域 网 络 中 的 每 一 个 传 
输 ， 以 确定 消息 是 否 是 发 送 到 它 的 物理 地 址 。 

注意 : 并 没有 那么 简单 

当 你 在 学 习 第 9 章 时 将 会 知道 ， 今 天 的 以 太 网 比 计 算 机 直接 在 传输 
线路 上 发 送信 息 的 理想 场景 要 复杂 一 些 。 以 太 网 有 时 包含 硬件 设备 ， 
比如 用 来 管理 信号 的 交换 机 。 

当然 ， 在 大 型 网 络 中 ， 每 个 网 络 适 配器 不 能 监听 所 有 的 信息 (E 
象 一 下 你 的 计算 机 监听 在 Internet 中 传输 的 所 有 数据 ) 。 当 传输 介质 随 
着 计算 机 越 来 越 普 及 时 ， 物 理 地 址 模式 不 能 有 效 地 发 挥 作 用 。 网 络 管 
理 员 经 常 使 用 设备 (例如 路 由 器 ) 将 网 络 分 段 ， 以 减少 网 络 的 拥堵 。 
在 路 由 式 网 络 中 ， 管 理 员 需 要 一 种 细 分 网 络 到 更 小 的 子 网 (MA 
subnets) 的 方法 ， 并 且 加 入 一 个 分 层 设计 以 便 让 信息 有 效 地 传输 到 它 
的 目的 地 。TCP/IP 通 过 逻辑 编 址 提供 了 这 样 的 子 网 化 能 力 。 人 逻辑 地 址 
是 一 个 通过 网 络 软 件 来 配置 的 地 址 。 在 TCP/IP 中 ， 计 算 机 的 逻辑 地 址 
称 为 IP 地 址 。 在 第 4 章 和 第 5 章 将 学 到 ， 一 个 IP 地 址 包括 : 

> 一 个 识别 网 络 的 网 络 ID 数值 ; 

一 个 识别 网 络 中 子 网 的 子 网 ID 数值 ; 

一 个 识别 子 网 中 计算 机 的 主机 ID 数值 。 


IP 编 址 系统 也 能 让 网 络 管理 员 在 网 络 中 加 入 一 个 明智 的 编 址 方 
案 ， 这 样 地 址 的 级 数 就 能 反映 网 络 的 内 部 结构 。 

注意 : Internet 就 绪 (Internet-Ready) 地 址 

如 果 你 的 网 络 与 Internet 相 隔离 ， 则 可 以 随意 使 用 任何 IP 地 址 (只 
要 网 络 遵 循 基本 的 IP 编 址 规则 ) 。 但 是 ， 如 果 你 的 网 络 与 Internet 相 
连 ， 互 联网 名 称 与 数字 地 址 分 配 机 构 (ICANN， 成 立 于 1998 年 ) 将 分 
配 一 个 网 络 ID 给 你 的 网 络 ， 该 网 络 ID 成 为 了 地 址 的 第 一 部 分 〈 见 第 4 章 
和 第 5 章 ) 。 一 个 有 趣 的 新 技术 是 一 个 被 称 为 网 络 地 址 转换 (NAT) 的 
系统 ， 它 可 以 让 你 在 局 域 网 中 拥有 私有 的 、 不 可 路 由 的 IP 地 址 。 当 需 
要 与 Internet 通 信和 时 ，NAT 会 将 这 个 地 址 转换 为 正式 的 Internet 就 绪 地 
址 。 有 关 NAT 的 详情 将 在 第 12 章 介绍 。 

在 TCP/IP 中 ， 人 逻辑 地 址 与 具体 硬件 的 物理 地 址 之 间 的 转换 是 使 用 
地 址 解析 协议 (Address Resolution Protocol，ARP) 和 逆向 地 址 解析 协 
议 (Reverse ARP，RARP) 实现 的 。 这 两 个 协议 将 在 第 4 章 讲解 。 


路 由 器 是 一 种 特殊 的 设备 ， 能 够 读 取 逻辑 地 址 信息 ， 并 将 数据 通 
过 网 络 直接 传送 到 它 的 目的 地 。 最 简单 的 应 用 是 ， 路 由 器 将 一 个 局 域 
子 网 从 较 大 的 网 络 中 分 离 出 去 ( 见 图 1.3) o 


图 1.3 路 由 器 将 一 个 局 域 网 连接 到 一 个 大 型 的 网 络 上 


在 局 域 网 中 ， 数 据 传输 到 另 一 台 计 算 机 或 设备 时 ， 不 用 经 过 路 由 
器 ， 因 此 不 会 给 大 型 网 络 的 传输 线路 带 来 负担 。 如 果 数 据 要 传送 到 子 
网 以 外 的 计算 机 上 ， 路 由 器 将 负责 转发 数据 。 本 章 前 面 提 到 ， 大 型 网 
8 (例如 Internet) 包括 了 许多 路 由 器 ， 并 且 提供 从 产 到 目的 地 的 多 条 
路 径 ( 见 图 1.4) o 


网 络 


图 1.4 路 由 式 网 络 


TCP/IP 包 括 了 定义 路 由 器 如 何 找 到 网 络 路 径 的 协议 。 有 关 TCP/IP 
路 由 选择 和 路 由 协议 的 更 多 知识 将 在 第 8 章 进行 讲解 。 

注意 : 其 他 过 滤 设 备 

你 在 第 9 章 将 学 到 ， 像 网 桥 、 交 换 机 和 智能 HUB 这 样 的 网 络 设备 
也 都 可 以 过 滤 流量 并 减少 网 络 拥塞 。 由 于 这 些 设备 使 用 的 都 是 物理 地 
址 而 不 是 逻辑 地 址 ， 因 此 它们 不 能 执行 图 1.4 中 所 示 的 复杂 路 由 功能 。 


1.3.3 名 称 解析 


尽管 对 用 户 而 言 ， 数 字 化 的 IP 地 址 要 比 网 络 适配器 的 物理 地 址 更 
方便 使 用 ， 但 是 IP 地 址 的 设计 初衷 是 方便 计算 机 的 操作 ， 而 不 是 用 
户 。 人 们 在 记忆 计算 机 的 地 址 是 111.121.131.146 还 是 111.121.131.156 
时 ， 可 能 会 相当 麻烦 。 因 此 ，TCP/IP 同 时 提供 了 IP 地 址 的 另外 一 种 结 
构 ， 它 以 字母 数字 命名 ， 可 以 方便 用 户 的 使 用 。 这 种 结构 称 为 域名 或 
域名 系统 (Domain Name System, DNS) 。 域 名 到 IP 地 址 的 映射 称 为 
名 称 解析 。 称 为 域名 服务 器 的 专用 计算 机 中 存储 了 用 于 显示 域名 和 IP 
地 址 转换 方式 的 表 。 

通常 与 E-mail 或 万 维 网 相关 联 的 计算 机 地 址 被 表示 为 DNS 名 称 

(例如 ，www.microsoft.com、falcon.ukans.edu 和 idir.net) TCP/IP 的 域 
名 服务 系统 提供 分 层 的 域名 服务 器 ， 这 些 服务 器 为 网 络 中 注册 DNS 的 
计算 机 提供 域名 和 IP 地 址 之 间 的 映射 。 这 意味 着 用 户 几 乎 不 用 输入 或 
解读 (decipher) 真实 的 IP 地 址 了 。 

DNS 是 用 于 Internet 的 域名 解析 系统 ， 也 是 最 常见 的 域名 解析 方 
法 。 然 而 ， 也 可 以 使 用 现 有 的 其 他 技术 将 字母 数字 化 的 域名 解析 为 了 
地 址 。 这 些 可 用 的 蔡 代 系统 的 重要 性 在 近年 来 逐渐 淡化 ， 但 是 域名 解 
析 服 务 ， 例 如 将 NetBIOS 解 析 为 卫 地 址 的 windows Internet 命 名 服务 

(WINS) 仍 在 世界 范围 内 使 用 。 

第 10 章 将 详细 讲解 TCP/IP 名 称 解析 。 


1.3.4 错误 控制 和 > | 


TCP/IP 协议 簇 提 供 了 确保 数据 在 网 络 中 可 靠 传送 的 特性 。 这 些 特 
性 包括 检查 数据 的 传输 错误 〈 确 保 到 达 的 数据 与 发 送 的 数据 一 致 ) 和 
确认 成 功 接 收 到 网 络 信息 。TCP/IP 的 传输 层 〈 见 第 6 章 ) 通过 TCP 协 
议定 义 了 许多 这 样 的 错误 控制 、 流 量 控制 和 确认 功能 。 位 于 TCP/IP 的 
网 络 访问 层 ( 见 第 3 章 ) 中 的 低层 协议 在 错误 控制 的 整体 系统 中 也 起 到 
了 一 定 作用 。 


1.3.5 应 用 支持 

在 同一 台 计 算 机 上 可 以 运行 多 种 网 络 应 用 程序 。 协 议 软件 必须 提 
供 某 些 方 法 来 判断 接收 到 的 数据 包 属 于 哪个 应 用 程序 。 在 TCP/IP 中 ， 
这 个 通过 系统 的 逻辑 通道 实现 从 网 络 到 应 用 程序 的 接口 被 称 为 端口 。 
每 个 端口 有 一 个 用 于 识别 该 端口 的 数字 。 可 以 把 端口 想象 为 计算 机 中 
的 逻辑 管道 ， 数 据 通 过 这 些 管道 实现 在 应 用 程序 和 协议 软件 之 间 的 传 
a 〈 见 图 1.5) o 

第 6 章 将 讲解 在 TCP/IP 传 输 层 的 TCP 和 UDP 端口 。 应 用 程序 支持 和 
TCP/IP 应 用 层 将 在 第 7 章 详细 讲解 。 

TCP/IP 簇 还 包括 一 些 现 成 的 应 用 程序 ， 用 来 辅助 各 种 网 络 任务 。 
一 些 典 型 的 TCP/IP 功 能 见 表 1.1。 这 些 TCP/IP 功 能 的 详情 将 在 第 14 章 介 


JJ 
绍 。 


网 络 访问 层 
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1.5 应 用 程序 通过 称 为 端口 的 逻辑 通道 访问 Internet 


表 1.1 典型 的 TCP/IP 工 具 


功能 用 途 
ftp 文件 传输 
| 2 

Ipr 打印 

ping 配置 / 排 错 
route 配置 / 排 错 
telnet 远程 终端 接 入 
traceroute 配置 /排除 排 错 


ER: 新 纪元 

在 本 书 编写 之 时 ，TCP/IP 实际 上 已 经 进入 了 一 个 新 的 阶段 。 像 无 
线 网 络 、 虚 拟 专 用 网 络 (VPN) 和 NAT 这 样 的 新 技术 增加 了 新 的 复杂 
性 ， 这 是 TCP/IP 的 创造 者 难以 想象 的 。 而 且 下 一 代 IP 地 址 协议 IPv6 很 
快 就 会 改变 IP 编 址 的 格局 。 本 书后 面 的 章节 将 会 详细 介绍 这 些 技 术 。 


1.4 标准 组 织 和 RFC 


有 多 家 组 织 一 直 在 致力 于 TCP/IP 和 Internet 的 开发 。 在 过 去 和 现 
在 仍然 致力 于 en 下 面 几 家 。 

> Internet 架 构 委员 会 (IAB) : 设置 Internet 的 策略 和 负责 
TCP/IP 标 准 未 来 发 展 的 理事 会 

> Internet 工 程 任务 组 (IETF) : 研究 和 管辖 工程 任务 的 组 织 。 
IETF 被 划分 为 研究 Soe ee (比如 应 用 、 路 由 选择 、 
网 络 管理 等 ) 的 工作 组 。 

> Internet 研 究 任务 组 (IRTE) : IAB 的 分 支 机 构 ， 致 力 于 长 期 
的 研究 。 

> 互联 网 名 称 与 数字 地 址 分 配 机 构 (ICNN) : 成 立 于 1998 年 ， 
协调 Internet 域 名 、IP 地 址 和 全 球 唯一 协议 参数 (比如 端口 号 ) 的 分 配 
(www.icann.com) o 

由 于 TCP/IP 是 一 个 标准 开放 的 系统 ， 不 被 任何 公司 或 个 人 持 有 ， 
因此 Intemet 社 区 需要 一 个 全 面 、 独 立 而 且 中 立 于 厂商 的 过 程 ， 来 提 
出 、 讨 论 和 发 布 对 TCP/IP 所 做 的 变更 和 添加 。TCP/IP 的 大 多 数 官方 文 
档 都 通 是 通过 一 系列 的 RFC 发 布 的 。RFC 的 库 包 含 了 Internet 标 准 来 自 
工作 组 的 报告 。IETF 的 官方 规范 也 是 以 RFC 形 式 发 布 的 。 多 数 RFC 虽 
在 解释 TCP/IP 或 Internet 的 某 一 方面 。 在 本 书 中 你 会 发 现 引 用 了 多 个 
RFC， 这 是 因为 TCP/IP 族 是 在 一 个 或 多 个 RFC 文 档 中 定义 的 。 尽 管 大 
多 数 的 RFC 是 由 行业 工作 组 和 研究 机 构 创 建 的 ， 但 是 任何 人 都 可 以 提 

交 RFC 以 供 审查 。 你 可 以 将 提出 的 RFC (proposed RFC) 发 送 给 

IETF， 或 者 是 直接 通过 邮件 将 RFC 提 交 给 RFC 编 辑 ， 其 地 址 为 rfc- 
editor@rfc-editor.orgo 

REC 为 想 深 入 了 解 TCP/IP 的 任何 人 提供 了 必要 的 技术 背景 ， 其 
中 包括 有 关 协 议 、 功 能 和 服务 的 技术 论文 ， 以 及 一 些 与 TCP/IP 相 关 的 


一 些 诗歌 ， 虽 然 这 与 TCP/IP 的 简洁 和 经 济 并 不 匹配 。 
在 Internet 的 多 个 地 方 都 可 以 找到 RFC， 比 如 wwwi.rfc-editor.org。 
表 1.2 列 出 了 几 个 有 代表 性 的 RFC。 


表 1.2 Internet RFC 中 的 一 些 示 例 


791 
792 
793 
959 
968 
1180 
1188 
2097 
4831 


标题 

Internet Protocol (1P) 

Internet Control Message Protocol (ICMP ) 

Transmission Control Protocol 

File Transfer Protocol 

Twas the Night Before Start-up 

TCP/IP Tutorial 

Proposed Standard for Transmission of Datagrams over FDDI Networks 
The PPP NetBIOS Frames Control Protocol 


Network-Based Localized Mobility Management 


1.5 小 结 


本 章 介绍 了 什么 是 网 络 ， 以 及 为 什么 网 络 需要 协议 。 我 们 知道 了 
TCP/IP 起 源 于 美国 国防 部 的 实验 性 ARPAnet 网 络 ， 以 及 TCP/IP 虽 在 在 
多 样 化 的 环境 中 提供 分 散 的 连 网 方式 。 

本 章 还 介绍 了 TCP/IP 的 几 个 重要 特性 ， 例 如 逻辑 编 址 、 名 称 解 析 
和 应 用 支持 。 还 概述 了 TCP/IP 的 几 个 监管 组 织 和 RFC 文 档 (作为 
TCP/IP 和 Intemet 的 官方 文档 的 技术 论文 ) 。 


1.6 ASF 


问 : 协议 标准 和 协议 实现 之 间 的 不 同 是 什么 ? 

E: 协议 标准 是 一 系列 规则 。 协 议 实 现 是 应 用 这 些 规则 的 软件 组 
件 ， 使 得 计算 机 能 够 具有 连 网 功能 。 

问 : 为 什么 端点 验证 是 ARPAnet 的 一 个 重要 特性 ? 

答 : 按照 设计 ， 网 络 不 应 该 由 任何 中 心 节点 来 控制 。 因 此 发 送 和 
接收 数据 的 计算 机 必须 负责 验证 自己 的 通信 。 

问 : 为 什么 较 大 网 络 使 用 名 称 解 析 ? 

=: IP 地 址 不 便于 记忆 并 容易 搞 错 。DNS 样 式 的 域名 容易 记忆 ， 
因为 它们 允许 将 一 个 单词 或 名 字 与 1P 地 址 相关 联 。 


1.7 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


1.7.1 问题 

. 什么 是 网 络 协议 ? 

.TCP/IP 的 哪 两 个 特性 使 得 TCP 可 以 在 分 散 的 环境 中 运行 ? 
. 什么 系统 负责 域名 和 IP 地 址 之 间 的 映射 ? 

.什么 是 RFC? 

. 什么 是 端口 ? 
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1.7.2 练习 


1. 访问 www.rfc-editor.org， 并 查看 几 个 RFC。 

2. 通过 datatracker.ietf.org/wg/ 网 站 来 访问 IETF， 并 查看 几 个 活跃 
的 工作 组 。 

3. 通过 www.irtf.org 来 访问 IRTF， 并 查看 正在 进行 的 研究 。 

4. 通过 www.icann.org/en/about/ 来 查看 ICANN 的 About 页 面 ， 并 了 
解 ICANN 的 任务 。 

5. 阅读 RFC 1160， 以 了 解 IAB 和 IETF 在 1990 年 之 前 的 历史 。 
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复习 下 列 关 键 术语 : 

> ARPAnet: 一 种 实验 性 网 络 ， 也 是 TCP/IP 的 诞生 地 。 

> 域名 : 通过 TCP/IP 的 DNS 域 名 服务 系统 ， 与 PP 地址 相关 联 的 名 
字 。 

> MA: 连接 LAN 到 大 型 网 络 的 路 由 器 。 在 专属 LAN 协 议 当 道 
的 时 期 ， 术 语 “ 网 关 ” 有 时 指 执行 一 些 协议 转换 的 路 由 器 。 

> IP 地 址 : 用 于 定位 TCP/IP 网 络 上 计算 机 或 其 他 连 网 设备 的 逻辑 
地 址 (例如 ， 打 印 机 ) o 

> ARA (LAN) : 供 单个 办 公 室 、 组 织 或 家 庭 使 用 的 小 型 网 
络 ， 通 常 只 占据 一 个 地 理 位 置 。 

> 逻辑 地 址 : 通过 协议 软件 配置 的 网 络 地 址 。 

> 域名 服务 : 将 网 络 地 址 与 便于 人 记忆 的 名 字 相 关联 的 一 种 服 
务 。 提 供 该 服务 的 计算 机 被 称 为 域名 服务 器 ， 将 名 字 解 析 为 地 址 的 行 
为 称 为 名 称 解 析 。 

> 网 络 协 议 : 对 通信 过 程 的 一 个 具体 方面 进行 定义 的 一 组 通用 规 
则 。 

> 物理 地 址 : 与 网 络 硬件 相关 的 地 址 。 在 以 太 网 适配器 中 ， 物 理 
地 址 通常 在 适配器 出 场 之 前 分 配给 它 。 

> 端口 : 一 种 内 部 通道 或 地 址 ， 它 在 应 用 程序 和 TCP/IP 传 输 层 之 
间 提 供 了 一 个 接口 。 

> 专属 : 有 私有 实体 (比如 一 个 公司 ) 控制 的 技术 。 

> 协议 实现 : 实现 了 协议 标准 中 定义 的 通信 规则 的 软件 组 件 。 

> REC: 提供 有 关 TCP/IP 或 Internet 信 息 的 官方 技术 文档 。 可 以 
在 网 络 的 多 个 地 方 找到 RFC， 例 如 www.rfc-editor.orgo 


> 路 由 器 : 通过 逻辑 地 址 来 转发 数据 的 一 种 网 络 设备 ， 并 且 也 可 
以 用 来 将 大 型 网 络 分 为 几 个 较 小 的 子 网 。 
> TCP/IP: 在 Internet 和 很 多 其 他 网 络 上 使 用 的 网 络 协议 族 。 


第 2 章 TCP/IP 的 工作 方式 


本 章 介 绍 如 下 内 容 : 

> TCP/IP 协 议和 系统 ; 

> OSI 模型 ; 

> 数据 包 ; 

> TCP/IP 的 交互 方式 。 

TCP/IP 是 一 个 协议 系统 或 协议 簇 ， 而 每 个 协议 都 是 由 规则 与 过 程 
组 成 的 系统 。 在 大 多 数 情况 下 ， 通 信 计 算 机 的 硬件 和 软件 实现 TCP/IP 
通信 的 规则 ， 用 户 不 必 关 心 其 中 的 细节 。 但 是 ， 如 果 想 对 TCP/IP 网 络 
进行 配置 或 故障 排 错 ， 就 有 必要 掌握 TCP/IP 知 识 了 。 

本 章 将 介绍 TCP/IP 协 议 系 统 ， 以 及 TCP/IP 组 件 如 何 协 同 工 作 ， 以 
在 网 络 上 发 送 和 接收 数据 。 

学 完 本 章 后 ， 你 可 以 : 

> 描述 TCP/IP 协 议 系统 的 分 层 以 及 各 层 的 功能 ; 

> 搞 述 OSI 协议 模型 的 分 层 并 解释 OSI 分 层 与 TCP/IP 的 关系 ; 

> 解释 TCP/IP 协 议 的 报头 ， 以 及 数据 在 协议 栈 的 每 一 层 ， 是 如 何 
使 用 该 层 的 报头 信息 进行 封装 的 ; 

> 对 位 于 TCP/PP 协 议 栈 每 一 层 的 数据 包 进 行 命名 ; 

> 讨论 TCP、UDP 和 1IP 协 议 ， 以 及 它们 如 何 共 同 实现 TCP/IP 功 


amp 
(ayay 
fo) 


2.1 TCP/IP 协 议 系 统 
在 介绍 TCP/IP 的 组 成 部 分 之 前 ， 最 好 先 简要 了 解 协 议 系统 的 职 


a 


像 TCP/IP 这 样 的 协议 系统 必须 负责 完成 以 下 任务 。 
> 把 消息 分 解 为 可 管理 的 数据 块 ， 并 且 这 些 数据 块 能 够 有 效 地 通 
过 传输 介质 。 
> 与 网 络 适 配器 硬件 连接 。 
> 寻 址 ， 即 发 送 端 计 算 机 必须 能 够 定位 到 接收 数据 的 计算 机 ， 接 
收 计算 机 必须 能 够 识别 自己 要 接收 的 数据 。 
> 将 数据 路 由 到 目的 计算 机 所 在 的 子 网 ， 即 使 源 子 网 和 目的 子 网 
分 处 不 同 的 物理 网 络 。 
> 执行 错误 控制 、 流 量 控制 和 确认 : 对 可 靠 的 通信 而 言 ， 发 送 和 
接收 计算 机 必须 能 够 发 现 并 纠正 传输 错误 ， 并 控制 数据 流 。 
从 应 用 程序 接收 数据 并 传输 到 网 络 。 
从 网 络 接收 数据 并 传输 到 应 用 程序 。 

为 了 实现 上 述 功 能 ，TCP/P 的 创建 者 使 用 了 模块 化 的 设计 。 
TCP/IP 协议 系统 被 分 为 不 同 的 组 件 ， 这 些 组 件 从 理论 上 来 说 能 够 相互 
独立 地 实现 自己 的 功能 。 每 个 组 件 分 别 负 责 通信 过 程 中 的 一 个 步骤 。 

这 种 模块 化 设计 的 好 处 在 于 让 厂商 方便 地 根据 特定 硬件 和 操作 系 
统 对 协议 软件 进行 修改 。 例 如 ， 网 络 访问 层 (第 3 章 将 学 到 ) 包含 了 与 
物理 网 络 规范 和 设计 相关 的 功能 ， 由 于 TCP/IP 的 模块 化 设计 ， 像 
Microsoft 这 样 的 厂商 在 使 用 光纤 网 络 时 就 不 必 重 新 构建 一 个 全 新 的 
TCP/IP 软 件 包 ， 上 层 不 会 受到 网 络 物理 结构 变化 的 影响 ， 只 要 修改 网 
络 访问 层 即 可 。 

TCP/IP 协 议 系 统 划分 为 不 同 层次 的 组 件 ， 分 别 实现 特定 的 功能 

( 见 图 2.1) 。 这 个 模型 或 栈 来 自 于 早期 的 TCP/IP， 有 了 时 也 被 称 为 


TCP/P 模 型 。 下 面 的 列表 描述 了 官方 的 TCP/P 协 议 层 及 其 功能 ， 把 它 
与 前 面 列 出 的 协议 系统 功能 相 比 ， 就 可 以 看 出 这 些 功 能 是 如 何 分 布 在 
各 个 层次 中 的 。 

注意 : 许多 模型 

图 2.1 中 的 四 层 模 型 是 描述 TCP/IP 网 络 的 常见 模型 ， 但 并 不 是 唯一 
的 模型 。 比 如 RFC 871 中 描述 的 ARPAnet 模 型 有 3 层 : 网 络 接 口 层 、 主 
机 到 主机 层 和 处 理 /应 用 层 。 其 他 的 一 些 TCP/IP 模 型 包含 5 层 : 用 物理 
层 和 数据 链 路 层 代 替 了 网 络 访问 层 (与 OSI 相 匹配 ) 。 还 有 些 模 型 可 
能 不 包含 网 络 访问 层 或 应 用 层 ， 因 为 这 些 层 的 定义 并 不 是 非常 一 致 ， 
而 且 比 中 间 层 更 难以 明确 定义 。 而 且 每 一 层 的 名 字 也 不 相同 。 
ARPAnet 各 层 的 名 字 仍 然 可 以 在 TCP/IP 的 一 些 讨论 中 见 到 ， 而 网 际 层 
有 时 则 称 为 网 间 层 或 网 络 层 。 

本 书 中 使 用 的 是 四 层 模 型 ， 其 名 字 如 图 2.1 中 所 示 。 


应 用 层 


网 际 层 


网 络 访问 层 


图 2.1 TCP/IP 模型 的 协议 层 


> 网 络 访问 层 : 提供 了 与 物理 网 络 连 接 的 接口 。 针 对 传输 介质 设 
置 数据 的 格式 ， 根 据 硬件 的 物理 地 址 实现 数据 的 寻 址 ， 对 数据 在 物理 
网 络 中 的 传递 提供 错误 控制 。 

> 网 际 层 : 提供 独立 于 硬件 的 逻辑 寻 址 ， 从 而 让 数据 能 够 在 具有 
不 同 物 理 结构 的 子 网 之 间 传 递 。 提 供 路 由 功能 来 降低 流量 ， 支 持 网 间 ] 
的 数据 传递 (术语 “网 间 ” (internetwork) 指 的 是 多 个 局 域 网 互相 连接 
而 形成 的 较 大 的 网 络 ， 比 如 大 公司 里 的 网 络 或 nternet) 。 实现 物理 地 
址 (网 络 访问 层 使 用 的 地 址 ) 与 逻辑 地 址 的 转换 。 

> 传输 层 : 为 网 络 提供 了 流量 控制 、 错 误 控制 和 确认 服务 。 充 当 
网 络 应 用 程序 的 接口 。 

> 应 用 层 : 为 网 络 排 错 、 文 件 传 输 、 远 程控 制 和 Internet 操作 提 
供 了 应 用 程序 ， 还 支持 应 用 编程 接口 (API) ， 从 而 使 得 针对 特定 操 
作 系 统 编写 的 程序 能 够 访问 网 络 。 本 书后 面 的 章节 将 详细 介绍 TCP/IP 
协议 每 一 层 的 行为 。 

Y TCP/IP 协议 软件 准备 通过 网 络 传递 数据 时 ， 发 送 端 计算 机 上 的 
每 一 层 协 议 都 在 数据 上 添加 层 信 息 ， 对 应 于 接收 端 计算 机 上 相应 的 
层 。 例 如 ， 发 送 端 计算 机 的 网 际 层 会 向 数据 添加 报头 信息 ， 这 些 信息 
对 于 接收 端 计算 机 的 网 际 层 是 十 分 重要 的 。 这 个 过 程 有 时 也 被 称 为 封 


装 。 在 接收 端 ， 当 数据 在 协议 栈 里 传递 时 ， 这 些 报头 信息 被 逐步 去 
除 。 

注意 : 层 

在 计算 机 行业 中 ,“ 层 ”这 个 术语 在 协议 组 件 层级 (比如 图 2.1 中 的 
协议 层 组 件 级 ) 得 到 了 广泛 应 用 。 当 数据 在 协议 栈 的 组 件 之 间 传 递 
时 ， 每 一 层 的 报头 信息 被 添加 到 数据 中 。 对 于 组 件 本 身 来 说 ,，“ 层 ”这 
个 术语 就 是 一 种 比喻 。 

图 2.1 所 示 为 数据 要 经 过 一 系列 接口 传输 的 示意 图 。 只 要 接口 保持 
不 变 ， 一 个 组 件 内 的 处 理 过 程 就 不 会 影响 到 另 一 个 组 件 。 把 图 2.1 横 过 
来 看 ， 它 就 像 一 条 流水 线 ， 这 也 是 对 于 协议 组 件 关系 的 一 个 很 好 的 比 
喻 。 当 数据 按 规定 到 达 流 水 线 上 的 每 一 个 点 时 ， 每 个 组 件 就 独立 地 对 
其 进行 处 理 。 


2.2 TCP/IP 和 OSI 模 型 


网 络 业 界 针对 网 络 协议 体系 有 一 个 标准 的 七 层 模 型 ， 称 为 “开放 系 
EJ (OSI) ”模型 ， 这 是 ISO (国际 标准 化 组 织 ) 为 了 标准 化 网 络 
协议 系统 所 做 出 的 规范 ， 虽 在 提高 网 络 互 连 性 ， 并 且 方 便 软件 开发 人 
员 以 一 种 开放 方式 来 使 用 协议 标准 。 

当 OSI 标 准 体 系 出 现时 ，TCP/IP 已 经 处 于 开发 过 程 之 中 了 。 严 格 
来 讲 ，TCP/IP 没 有 遵守 OSI 模 型 ， 然 而 这 两 种 模型 的 确 具 有 类 似 的 目 
标 ， 而 且 它 们 的 设计 者 之 间 有 足够 的 交互 ， 所 以 它们 具有 一 定 的 兼容 
性 。OSI 模型 对 于 协议 实现 的 开发 与 发 展 具有 非常 大 的 影响 力 ， 所 以 
了 解 OSI 术 语 如 何 应 用 于 TCP/IP 是 理 所 应 当 的 。 

图 2.2 所 示 为 TCP/IP 标 准 四 层 模 型 与 OSI 七 层 模 型 之 间 的 关系 。 注 
意 到 OSI 模型 把 应 用 层 的 功能 划分 到 3 个 层 : 应 用 层 、 表 示 层 和 会 话 
层 。OSI 还 把 网 络 访问 层 的 功能 划分 到 数据 链 路 层 和 物理 层 。 这 种 新 
增 的 细 分 带 来 了 一 定 的 复杂 性 ， 但 是 通过 让 协议 层 具 有 更 明确 的 服 
务 ， 也 为 开发 人 员 提 供 了 灵活 性 。 尤 其 是 在 底层 对 数据 链 路 层 和 物理 
层 的 划分 ， 就 把 通信 组 织 相关 的 功能 与 访问 通信 介质 的 功能 分 离开 
了 。 而 OSI 的 最 上 三 层 让 应 用 程序 能 够 以 更 灵活 的 方式 与 协议 栈 进行 
交互 。 
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图 2.2 OSI 七 层 模 型 


OSI 模型 的 7 层 分 别 如 下 所 示 。 

> 物理 层 : 把 数据 转换 为 传输 介质 上 的 电子 流 或 模拟 脉冲 ， 并 且 
监视 数据 的 传输 。 

> 数据 链 路 层 : 提供 与 网 络 适配器 相连 的 接口 ， 维 护 子 网 的 逻辑 
链接 。 

> DAR: 支持 逻辑 寻 址 与 路 由 选择 。 

> 传输 层 : 为 网 络 提供 错误 控制 和 数据 流 控制 。 

> 会 话 层 : 在 计算 机 的 通信 应 用 程序 之 间 建 立会 话 。 

> 表示 层 : 把 数据 转换 为 标准 格式 ， 管 理 数据 加 密 与 压缩 。 

> MAB: 为 应 用 程序 提供 网 络 接口 ， 支 持 文件 传输 、 通 信 等 功 
能 的 网 络 应 用 。 


需要 注意 的 是 ，TCP/PP 模 型 与 OSI 模型 都 是 标准 ， 而 不 是 实现 。 
TCP/IP 的 具体 实现 并 没有 严格 遵守 图 2.1 和 图 2.2 中 的 模型 ， 而 图 2.2 所 
示 的 完美 通信 关系 在 业界 也 有 不 同意 见 。 

注意 到 在 重要 的 传输 层 和 网 际 层 (在 OSI 里 被 称 为 网 络 层 ) ，OSI 
和 TCP/IP 模 型 是 最 相似 的 ， 这 些 层 包含 的 组 件 最 能 体现 网 络 协议 之 间 
的 区 别 ， 所 以 很 多 协议 根据 其 传输 层 和 网 络 层 进行 命名 并 不 是 一 种 偶 
然 。 在 本 书后 面 的 学 习 中 你 会 知道 ，TCP/AP 协 议 簇 的 名 称 就 来 自 于 
TCP (一 个 传输 层 协 议 ) 和 IP (一 个 网 际 层 / 网 络 层 协议 ) 。 


2.3 数据 包 


天 于 ITCP/P 协 议 栈 需要 强调 的 是 ， 其 中 每 一 层 都 在 整个 通信 过 程 
中 都 扮演 一 定 的 角色 ， 并 调用 必要 的 服务 来 完成 相应 的 功能 。 在 数据 
发 送 过 程 中 ， 其 流程 是 从 堆栈 的 上 到 下 ， 每 一 层 都 把 相关 的 信息 (被 
MAGA”) 捆绑 到 实际 的 数据 上 。 包 含 报 头 信息 和 数据 的 数据 包 就 
作为 下 一 层 的 数据 ， 再 次 被 添加 报头 信息 和 重新 打包 。 这 个 过 程 如 图 
2.3 所 示 。 当 数据 到 达 目 的 计算 机 时 ， 接 收 过 程 恰恰 是 相反 的 ， 在 数据 
从 下 到 上 经 过 协议 栈 的 过 程 中 ， 每 一 层 都 解 开 相 应 的 报头 并 且 使 用 其 
中 的 信息 。 

当 数 据 从 上 至 下 通过 协议 栈 时 ， 其 情形 有 点 像 俄 罗斯 的 套 娃 。 最 
里 面 的 娃娃 被 套 在 稍 大 的 娃娃 里 ， 后 者 又 被 闭 在 更 大 一 些 的 娃娃 里 ， 
以 此 类 推 。 在 接收 端 ， 当 数据 从 下 至 上 经 过 协议 栈 时 ， 数 据 包 被 逐 涤 
解 包 。 接 收 端 计算 机 上 的 网 际 层 会 使 用 网 际 层 的 头 信 息 ， 传 输 层 会 使 
用 传输 层 的 报头 信息 。 在 每 一 层 中 ， 数 据 包 的 格式 都 能 向 相应 的 层 提 
供 必 要 的 信息 。 由 于 每 一 层 分 别 具 有 不 同 的 功能 ， 所 以 每 一 层 基本 数 
据 包 的 形式 也 是 千差万别 的 。 
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图 2.3 在 每 一 层 ， 都 要 使 用 该 层 的 报头 信息 对 数据 重新 打包 


注意 : 传输 套 娃 

网 络 界 不 仅 有 很 多 缩写 名 词 ， 也 有 很 多 类 比 ， 比 如 前 面 提 到 的 俄 
罗斯 套 娃 ， 它 们 可 以 形象 地 展示 某 些 概念 ， 但 不 应 被 过 度 使 用 。 需 要 
指出 的 是 ， 在 物理 网 络 中 (比如 以 太 网 ) ， 数 据 在 网 络 访问 层 被 分 解 
为 较 小 的 单元 。 对 此 更 准确 的 比喻 是 把 套 娃 分 解 为 碎片 ， 把 这 些 碎片 
封装 到 很 小 的 娃娃 里 ， 再 把 它们 以 1 和 0 的 模式 表示 。 接 收 端 收 到 这 些 1 
和 0 之 后 ， 重 新 组 合 为 小 娃娃 ， 再 重建 整个 套 娃 。 整 个 过 程 是 相当 复 
杂 ， 所 以 很 多 人 不 使 用 套 娃 作为 比喻 。 

数据 包 在 每 一 层 具 有 不 同 的 形式 和 名 称 。 下 面 是 数据 包 在 每 一 层 
的 名 称 。 

> 在 应 用 层 生成 的 数据 包 被 称 为 消息 。 


> 在 传输 层 生 成 的 数据 包 封装 了 应 用 层 的 消息 ， 如 果 它 来 自 于 传 
输 层 的 TCP 协 议 ， 融 家 称 为 分 段 ; 如 果 来 目 于 传输 层 的 UDP 协议 ， 殉 
被 称 为 数据 报 。 

> 在 网 际 层 的 数据 包 封 装 了 传输 层 的 片段 ， 被 称 为 数据 报 。 

> 在 网 络 访问 层 的 数据 包 封装 了 数据 报 (而 且 可 能 对 其 进行 再 分 
解 ) ， 被 称 为 帧 。 帧 被 访问 层 里 的 最 低 子 层 转化 为 比特 流 。 

本 书后 面 的 章节 将 更 详细 地 介绍 每 一 层 的 数据 包 。 


2.4 TCP/IP 网 络 概述 


关于 协议 系统 分 层 的 介绍 到 处 可 见 。 这 种 分 层 方式 的 确 可 以 让 我 
们 深入 理解 协议 系统 ， 而 且 如 果 不 介绍 分 层 体 系 也 就 不 可 能 描述 
TCP/IP， 但 是 只 关注 各 个 协议 层 也 有 一 定 的 局 限 性 。 

首先 ， 讨 论 协议 层 而 不 是 协议 会 使 本 来 就 非常 抽象 的 概念 更 加 抽 
象 。 其 次 ， 详 细 列 出 协议 层 里 的 各 种 协议 会 使 人 误 认 为 它们 是 同等 重 
要 的 。 实 际 上 ， 虽 然 TCP/IP 协 议 簇 里 每 个 协议 都 有 自己 的 作用 ， 但 
TCP/IP 协 议 簇 的 主要 功能 是 可 以 通过 几 个 最 重要 的 协议 来 完成 的 。 在 
了 解 了 前 面 关于 协议 分 层 的 基础 知识 之 后 ， 对 重要 协议 的 简要 介绍 是 
很 有 好 处 的 。 

图 2.4 描 述 了 基本 的 TCP/IP 协 议 连 网 系统 。 当 然 ， 在 完整 的 数据 包 
里 还 包含 其 他 的 协议 和 服务 ， 图 中 展示 的 是 最 主要 的 部 分 。 
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图 2.4 基本 的 TCP/IP 联 网 系统 


基本 场景 如 下 。 

1. 数据 从 工作 于 应 用 层 的 协议 、 网 络 服务 或 应 用 编程 接口 
(API) 通过 TCP 或 UDP 端口 传递 到 两 个 传输 层 协 议 (TCP 或 UDP) 中 
的 一 个 。 程 序 可 以 根据 需要 通过 TCP 或 UDP 访问 网 络 。 

> TCP 是 面向 连接 的 协议 。 第 6 章 将 讲 到 ， 与 无 连接 的 协议 相 
比 ， 面 向 连接 的 协议 提供 更 复杂 的 流量 控制 和 错误 控制 。TCP 能 够 确 
保 数据 的 发 送 质量 ， 比 UDP 更 可 靠 ， 但 由 于 需要 进行 额外 的 错误 检测 
和 流量 控制 ， 因 此 比 UDP 的 速度 慢 。 

> UDP 是 个 无 连接 的 协议 ， 比 TCP 快 ， 但 是 不 可 靠 ， 它 把 错误 控 
制 的 责任 推 给 了 应 用 。 

2. 数据 分 段 传递 到 网 际 层 ， 卫 协议 在 此 提供 逻辑 寻 址 信息 ， 并 且 
把 数据 封装 为 数据 报 。 

3. IP 数据 报 进入 网 络 访问 层 ， 传 递 到 与 物理 网 络 相 连接 的 软件 
组 件 。 网 络 访问 层 创建 一 个 或 多 个 数据 帧 ， 从 而 进入 到 物理 网 络 。 在 
像 以 太 网 这 样 的 局 域 网 系统 中 ， 帧 可 能 包含 从 表格 里 获得 的 物理 地 址 
信息 ， 而 这 些 表格 是 由 网 际 层 的 ARP 维 护 的 (ARP 是 地 址 解析 协议 ， 
把 IP 地 址 转换 为 物理 地 址 ) o 

4. 数据 帧 被 转化 为 比特 流 ， 通 过 网 络 介质 进行 传输 。 

当然 ， 每 个 协议 在 实现 其 功能 时 还 涉及 很 多 的 细节 ， 比 如 TCP 如 
何 提供 流量 控制 、ARP 如 何 将 物理 地 址 映射 为 IP 地 址 ， 以 及 IP 如 何 知 
道 应 该 向 其 他 子 网 的 地 址 发 送 数 据 报 。 这 些 问 题 将 在 本 书 的 后 续 章 节 


介绍 。 


2.5 小 结 


本 章 介 绍 了 TCP/IP 协 议 栈 的 分 层 结 构 及 其 之 间 的 相互 关系 ， 还 讲 
解 了 经 典 的 TCP/IP 模 型 与 OSI 七 层 模 型 之 间 的 关系 。 在 协议 栈 的 每 一 
个 层 中 ， 数 据 都 被 进行 了 封装 ， 添 加 了 接收 端 相 应 层 所 需 的 信息 。 本 
章 讨 论 了 在 每 个 协议 层 封 装 报头 信息 的 过 程 ， 概 述 了 每 一 层 数据 包 的 
名 称 。 最 后 ， 我 们 还 通过 TCP/IP 的 一 些 最 重要 的 协议 概述 了 它 是 如 何 
运行 的 ， 这 些 协议 包括 TCP、UDP、IP 和 RAPP。 


2.6 ASS 


问 : TCP/IP 模 块 化 设计 的 主要 优点 是 什么 ? 

答 : 由 于 TCP/IP 的 模块 化 设计 ，TCP/IP 协 议 栈 能 够 方便 地 进行 修 
改 来 适应 特定 的 硬件 和 操作 环境 。 将 网 络 软 件 划 分 为 具体 的 、 设 计 良 
好 的 组 件 ， 有 助 于 开发 人 员 更 容易 地 编写 出 于 协议 系统 进行 交互 的 程 
序 。 

问 : 网 络 访问 层 提供 了 什么 功能 ? 

E: 网 络 访问 层 提 供 了 与 特定 物理 网 络 相 关 的 服务 ， 包 括 基于 特 
定 传输 介质 〈 比 如 以 太 网 电缆 ) 准备 、 发 送 和 接收 数据 帧 。 

问 : OSI 模 型 的 哪 一 层 对 应 于 TCP/IP 的 网 际 层 ? 

E: OSI 的 网 络 层 对 应 于 TCP/IP 的 网 际 层 。 

问 : 为 什么 要 在 TCP/IP 协 议 栈 的 每 一 层 封装 报头 信息 ? 

答 : 因为 接收 设备 上 每 个 协议 层 需要 不 同 的 信息 来 处 理 收 到 的 数 
据 ， 所 以 发 送 设备 上 的 每 一 层 就 封装 相应 的 报头 信息 。 


2.7 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


机 ? 


2.7.1 问题 


1. 
2s 


OSI 的 哪 两 层 对 应 于 TCP/IP 的 网 络 接 入 层 ? 
TCP/IP 的 哪 一 层 负 责 将 数据 从 一 台 计 算 机 路 由 到 另外 一 台 计 算 


3. 与 TCP 相 比 ，UPD 的 优势 和 劣势 分 别 是 什么 ? 


， 哪 一 层 处 理 帧 ? 


5. 每 一 层 封装 数据 的 真实 含义 是 什么 ? 


2.7.2 练习 

1. 列举 TCP/PP 协 议 栈 中 每 一 层 所 执行 的 功能 。 

2. 列 出 处 理 数据 报 的 层 。 

3. 如 何 修改 TCP/IP， 才 能 使 用 新 发 明 的 网 络 类 型 ? 
4. 为 什么 说 TCP/IP 是 可 靠 的 协议 ? 
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复习 下 列 关键 术语 : 

> 地 址 解析 协议 (ARP) ; 将 逻辑 IP 地 址 解析 为 物理 地 址 的 协 
议 。 

> 应 用 层 : TCP/IP 栈 中 的 一 层 ， 它 支持 网 络 应 用 ， 提 供与 本 地 操 
作 环 境 相 交互 的 接口 。 

> 数据 报 : 从 网 际 层 传输 到 网 络 访问 层 的 数据 包 ， 或 是 从 传输 层 
的 UDP 传递 到 网 际 层 的 数据 包 。 

> i: 在 网 络 访问 层 创 建 的 数据 包 。 

> 报头 : 在 协议 栈 每 一 层 附 加 到 数据 上 的 协议 信息 。 

> AME: TCP/IP 栈 中 的 一 层 ， 提 供 逻 辑 寻 址 和 路 由 选择 。 

> IP: 网 际 层 的 协议 ， 提 供 逻 辑 寻 址 和 路 由 选择 功能 。 

> 消息 : 在 TCP/IP 网 络 中 ， 消 息 是 从 应 用 层 传递 到 传输 层 的 数据 
包 。 该 属于 通常 也 用 于 描述 从 网 络 上 一 个 实体 传递 到 另 一 个 实体 的 信 
息 ， 它 并 不 总 是 指 应 用 层 数据 包 。 

> 网 络 访问 层 : TCP/IP 协 议 中 的 一 层 ， 提 供与 物理 网 络 连 接 的 接 


> 分 段 : 从 传输 层 的 TCP 传 递 到 网 际 层 的 数据 包 。 

> TCP (传输 控制 协议 ) : 传输 层 中 一 个 可 靠 的 、 面 向 连接 的 协 
Wo 

> 传输 层 : TCP/IP 协 议 栈 中 的 一 层 ， 提 供 错误 控制 和 确认 功能 ， 
并 充当 网 络 应 用 程序 的 接口 。 

> UDP (用 户 数据 报 协 议 ) : 传输 层 中 一 个 不 可 靠 的 、 无 连接 的 
协议 。 


第 2 部 分 TCP/IP 协 议 系统 


第 3 章 网 络 访 问 层 
第 4 章 网 际 层 

第 5 章 子 网 划分 和 CIDR 
第 6 章 传输 层 

第 7 章 应 用 层 


3 络 访问 层 


本 章 介 绍 如 下 内 容 : 

> 物理 地 址 ; 

> 网 络 体系 ; 

> 以 太 网 帧 。 

TCP/IP 协 议 栈 的 最 底层 是 网 络 访问 层 ， 其 中 包含 的 服务 与 规范 提 
供 并 管理 着 对 网 络 硬 件 的 访问 。 本 章 将 介绍 网 络 访问 层 的 功能 及 其 与 
OSI 模型 的 关系 ， 还 会 详细 介绍 称 之 为 以 太 网 的 这 种 网 络 技术 。 

学 完 本 章 后 ， 你 可 以 : 

> 解释 网 络 访问 层 ; 

> 掌握 TCP/IP 的 网 络 访问 层 与 OSI 网 络 模 型 的 关系 ，; 

> 掌握 网 络 体系 结构 的 作用 ; 

> 列 出 以 太 网 帧 的 内 容 。 


sit 


3.1 


网 络 访问 层 是 最 神秘 、 最 不 统一 的 TCP/IP 层 ， 它 管理 为 物理 网 络 
准备 数据 所 必需 的 服务 与 功能 ， 包 括 : 

> 与 计算 机 网 络 适 配器 的 连接 ， 

> 根据 合适 的 访问 方式 调整 数据 传输 ; 

> 把 数据 转化 为 电子 流 或 模拟 脉冲 的 形式 ， 以 在 传输 介质 上 进行 
传输 ; 

> 对 接收 到 的 数据 进行 错误 检查 ; 

> 给 发 送 的 数据 添加 错误 检查 信息 ， 从 而 让 接收 端 计算 机 能 够 对 
数据 进行 错误 检查 。 

当然 ， 当 数据 到 达 目 的 地 被 目的 计算 机 接收 时 ， 对 发 送 数据 所 做 
的 任何 格式 化 操作 都 必须 能 以 相反 方式 恢复 。 

网 络 访问 层 定义 了 与 网 络 硬件 交互 和 访问 传输 介质 的 过 程 ， 在 
TCP/IP 网 络 访问 层 的 下 面 ， 将 会 发 现 硬件 、 软 件 和 传输 介质 规范 之 间 
复杂 的 相互 作用 。 不 幸 的 是 ， 现 实 世界 中 存在 着 很 多 不 同类 型 的 物理 
网 络 ， 它 们 都 具有 自己 的 规范 ， 而 且 都 可 能 作为 网 络 访问 层 的 底层 。 

好 在 网 络 访问 层 对 于 日 常用 户 来 说 几乎 是 完全 透明 的 。 网 络 适 配 
器 与 操作 系统 和 协议 软件 的 一 些 关键 底层 组 件 ， 管 理 与 网 络 访问 层 相 
关 的 主要 任务 ， 用 户 只 需要 进行 一 些 简 单 的 配置 步骤 即 可 。 而 桌面 操 
作 系 统 不 断 完善 的 即 插 即 用 和 自动 配置 特性 进一步 简化 了 这 些 步 又 。 

在 学 习 本 章 的 过 程 中 ， 一 定 要 牢记 第 1、2、4、5 章 里 讨论 的 逻辑 
IP 地 址 只 存在 于 软件 之 中 。 协 议 系 统 需要 其 他 服务 在 特定 局 域 网 系统 
把 数据 传递 到 目的 计算 机 的 网 络 适 配器 ， 这 些 服务 正 是 由 网 络 访问 层 
所 提供 的 。 

注意 : 是 否 应 该 讨论 网 络 访问 层 


由 于 网 络 访问 层 的 多 样 性 、 复 杂 性 和 透明 性 ， 有 些 作 者 在 讨论 
TCP/AP 时 完全 没有 涉及 它 ， 就 好 像 协议 栈 是 基于 网 际 层 下 面 的 局 域 网 
驱动 程序 一 样 。 这 种 看 法 有 一 定 的 价值 ， 但 网 络 访问 层 实际 上 是 
TCP/P 的 一 部 分 ， 没 有 它 就 不 可 能 完整 地 讨论 网 络 通信 过 程 。 


第 2 章 讲 到 ，TCP/P 是 独立 于 OSI 七 层 网 络 模型 的 ， 但 OSI 模型 经 
常 作为 一 种 通用 框架 来 理解 各 种 协议 系统 。 在 讨论 网 络 访问 层 时 ， 
OSI 术语 和 概念 是 通用 的 ， 因 为 OSI 模型 对 网 络 访问 进一步 细 分 ， 因 而 
更 好 地 揭示 了 这 一 层 里 的 运行 情况 。 

如 图 3.1 所 示 ，TCP/P 网 络 访问 层 大 致 对 应 于 OSI 的 物理 层 和 数据 
链 路 层 。OSI 的 物理 层 负 责 把 数据 帧 转化 为 适合 于 传输 介质 的 比特 
流 ， 也 就 是 说 ，OSI 物理 层 管 理 和 同步 实际 传输 的 电子 或 模拟 脉冲 。 
在 接收 端 ， 物 理 层 把 这 些 脉冲 重新 组 合 为 数据 帧 。 
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图 3.1 0SJ 与 网 络 访问 层 


OSI 数据 链 路 层 执行 两 个 独立 的 任务 ， 相 应 地 划分 为 两 个 子 层 。 

> 介质 访问 控制 (MAC) : 这 个 子 层 提供 与 网 络 适 配器 连接 的 
接口 。 实 际 上 ， 网 络 适 配器 驱动 程序 通常 被 称 为 MAC 驱 动 ， 而 网 卡 在 
工厂 固化 的 硬件 地 址 通常 被 称 为 MAC 地 址 。 

> 逻辑 链 路 控制 (LLC) : 这 个 子 层 对 经 过 子 网 传递 的 帧 进行 错 
误 检查 ， 并 且 管 理子 网 上 通信 设备 之 间 的 链 路 。 

注意 : NDIS 和 ODI 

在 实际 的 网 络 协议 实现 中 ， 网 络 驱动 程序 接口 规范 (NDIS) MF 
放 数 据 链 路 接口 (ODI) 规范 的 存在 进一步 复杂 了 TCP/P 层 与 OSI 系统 
之 间 的 区 别 。NDIS (由 Microsoft 和 3Com 公 司 开发 ) 和 ODI (由 Apple 
和 Novell 开 发 ) 的 设计 目的 在 于 让 单个 协议 栈 (比如 TCP/IP) 使 用 多 
个 网 络 适配器 ， 并 让 单个 网 络 适 配器 使 用 多 个 上 层 协议 ， 这 样 可 以 让 
上 层 协 议 彻底 独立 于 网 络 访问 系统 ， 从 而 为 网 络 增加 了 很 强 的 功能 ， 
但 同时 也 增加 了 复杂 性 ， 也 让 系统 地 介绍 软件 组 件 在 底层 如 何 交 互 变 
得 更 加 困难 。 
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在 实践 中 ， 局 域 网 并 不 是 一 种 协议 层 的 术语 ， 而 是 代表 局 域 网 体 
系 或 网 络 体 系 (有 时 网 络 体系 也 被 称 为 局 域 网 类 型 或 局 域 网 拓扑 ) 。 
网 络 体系 (比如 以 太 网 ) 具有 一 系列 的 规范 来 管理 介质 访问 、 物 理 寻 
址 、 计 算 机 与 传输 介质 的 交互 。 在 决定 网 络 体 系 时 ， 实 际 上 是 在 决定 
如 何 设计 网 络 访问 层 。 

网 络 体系 包含 对 物理 网 络 的 定义 ， 以 及 该 物理 网 络 上 定义 的 通信 
规范 。 通 信 细 节 基 于 物理 细节 ， 所 以 这 些 规 范 通常 以 一 个 完整 的 包 出 
现 。 这 些 规范 包含 以 下 几 个 方面 。 

> 访问 方法 : 访问 方法 是 定义 了 计算 机 如 何 共享 传输 介质 的 一 组 
规则 。 为 了 避免 数据 冲突 ， 计 算 机 在 传输 数据 时 必须 遵守 这 些 规则 。 

> 数据 帧 格式 : 来 自 于 网 际 层 的 IP 级 别 的 数据 报 以 预定 义 的 格 
式 封 装 为 数据 帧 ， 封 装 在 包头 中 的 数据 必须 提供 在 物理 网 络 上 传递 数 
据 所 需要 的 信息 。 本 章 后 面 会 详细 讲解 数据 帧 。 

> 布线 类 型 : 网 络 所 使 用 的 线 缆 类 型 对 于 其 他 设计 参数 具有 一 定 
的 影响 ， 比 如 适配器 传递 的 比特 流 的 电子 特性 。 

> 布线 规则 : 协议 、 线 缆 类 型 和 传输 的 电子 特性 影响 着 线 缆 的 最 
大 和 最 小 长 度 、 电 缆 连 接 器 的 规范 。 

像 线 缆 类 型 和 连接 器 类 型 这 样 的 细节 问题 并 不 是 由 网 络 访问 层 直 
接 负责 的 ， 但 为 了 设计 网 络 访问 层 的 软件 组 件 ， 开 发 人 员 必 须 假定 物 
理 网 络 具有 特定 的 性 质 ， 因 此 ， 网 络 访问 层 的 软件 必须 伴随 于 特定 的 
硬件 设计 。 

最 重要 的 是 ， 网 络 访问 层 以 上 的 协议 层 不 必 关 心 硬件 设计 的 问 
题 。TCP/IP 协 议 栈 的 设计 保证 了 与 硬件 交互 相关 的 细节 都 发 生 在 网 络 
访问 层 ， 使 得 TCP/IP 能 够 工作 于 多 种 不 同 的 传输 介质 。 

网 络 访问 层 包 括 如 下 一 些 体系 。 


> IEEE 802.3 (以 太 网 ) : 在 大 多 数 办 公 室 和 家 庭 使 用 的 基于 线 


缆 的 网 络 。 

> TEEE 802.11 (无 线 网 络 ) : 在 办 公 室 、 家 庭 和 咖啡 厅 使 用 的 
无 线 网 络 技术 。 

> IEEE 802.16 (WiMAX) : 用 于 移动 通信 长 距离 无 线 连接 的 技 
术 。 


> 点 到 点 协议 (PPP) : Modem 通 过 电话 线 进 行 连接 的 技术 。 

TCP/IP 还 支持 其 他 一 些 网 络 体系 。 在 图 3.2 中 可 以 看 到 ， 协 议 栈 的 
模块 化 特性 使 得 在 网 络 访问 层 里 与 硬件 打交道 的 软件 组 件 能 够 为 和 硬 
件 无 关 操 作 的 上 层 提供 接口 。 


网 际 层 


网 络 
访问 层 以 太 网 


图 3.2 由 于 网 络 访问 层 封 装 了 传输 介质 的 细节 ， 因 此 协议 栈 的 上 层 可 以 
独立 于 硬件 进行 操作 


虽然 协议 层 之 间 错 综 复杂 的 交互 在 很 大 程度 上 对 于 用 户 是 透明 
的 ， 但 通过 操作 系统 中 的 网 络 配置 对 话 框 ， 还 是 经 常 可 以 查 觉 到 硬件 
相关 层 与 逻辑 寻 址 层 之 间 的 关系 。 例 如 ， 图 3.3 展 示 的 Mac OS X 配 置 
对 话 框 可 以 让 TCP/IP 配 置 与 多 个 不 同 的 体系 相关 联 ， 比 如 以 太 网 、 赣 
牙 、Modem 和 AirPort 无 线 网 络 (Apple 公 司 对 IEEE 802.11 无 线 网 络 规 
范 的 优化 ) © 
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图 3.3 大 多 数 操作 系统 可 以 将 不 同 的 网 络 体系 与 TCPAP 配置 相关 联 


本 书后 面 的 章节 将 更 详细 地 介绍 Modem、 无 线 网 络 和 其 他 网 络 技 
术 。 

下 面 的 小 节 将 细致 地 介绍 一 种 重要 的 、 普 遍 存 在 的 网 络 体系 
以 太 网 ， 从 而 作为 网 络 应 用 层 故 障 诊断 和 解决 方法 的 一 个 范例 。 

为 了 查看 网 络 访问 中 内 发 生 的 问题 类 型 以 及 相应 的 解决 防范 ， 下 
面 一 节 将 详细 讨论 以 太 网 这 种 重要 而 且 无 处 不 在 的 网 络 。 大 多 数 情况 
下 , 与 家 用 计算 机 或 办 公用 计算 机 相连 接 的 是 以 太 网 线 绕 ， 网 络 中 的 
计算 机 使 用 以 太 网 的 某 些 形式 相互 通信 。 甚 至 是 将 笔记 本 电脑 、 智 能 
手机 和 其 他 无 线 设备 连接 到 家 庭 网 络 的 无 线 HUB， 最 终 也 是 连接 到 使 
用 以 太 网 线 绕 的 有 线 网 络 。 在 学 习 本 章 剩余 的 内 容 时 ， 要 记 住 以 太 网 


只 是 网 络 访问 层 协 议 系 统 的 一 个 例子 。 在 后 续 章 节 学 习 其 他 硬件 技术 
时 ， 比 如 拨号 、 数 字 用 户 线 (DSL) 、 无 线 和 广域网 (WAN) 方式 
时 ， 要 记 住 每 一 种 技术 都 有 其 独特 的 需求 ， 来 反映 网 络 访 问 协议 和 驱 
动 程序 的 独特 性 设计 。 
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前 面 的 章节 讲 到 ， 网 络 访问 层 需 要 把 逻辑 IP 地 址 (通过 协议 软件 
来 配置 ) 与 网 络 适配器 的 固定 物理 地 址 相关 联 。 物 理 地 址 通常 也 被 称 
为 MAC 地 址 ， 这 是 因为 在 OSI 模 型 中 ， 物 理 寻 址 是 由 介质 访问 控制 
(MAC) 子 层 负责 的 。 由 于 物理 寻 址 系统 是 封装 在 网 络 访问 层 中 的 ， 
所 以 地 址 可 以 根据 网 络 体系 规范 采用 不 同 的 形式 。 

在 以 太 网 中 ， 物 理 地 址 通常 是 由 工厂 固化 在 网 络 硬 件 中 的 ， 尽 管 
有 些 现代 的 网 络 是 配 体 提 供 了 可 编程 的 物理 地 址 。 几 年 之 前 ， 以 太 网 
硬件 一 般 以 网 络 适 配器 的 形式 插 到 计算 机 扩展 槽 中 。 在 最 近 几 年 ， 厂 
商 开始 在 主板 上 集成 以 太 网 功能 。 但 无 论 是 在 何 种 情况 下 ， 硬 件 通常 
都 具有 预 置 的 物理 地 址 。 

经 过 局 域 网 传递 的 数据 帧 必须 使 用 这 个 物理 地 址 来 标识 源 适 配器 
和 目的 适配器 ， 但 元 长 的 物理 地 址 (以 太 网 使 用 48 比 特地 址 ) 的 可 用 
性 非常 差 。 但 是 ， 在 较 高 的 协议 层 对 物理 地 址 进行 编码 又 会 破坏 
TCP/IP 模块 化 带 来 的 灵活 性 ， 因 为 后 者 要 求 上 层 协 议 与 物理 细节 无 
关 。TCP/IP 使 用 地 址 解析 协议 (ARP) 和 逆向 地 址 解析 协议 
(RARP) 把 IP 地 址 关联 到 网 络 适配器 的 物理 地 址 。ARP 和 RARP 为 用 
户 提供 的 逻辑 IP 地 址 与 局 域 网 上 使 用 的 硬件 地 址 建立 了 一 个 对 应 关 
系 。 第 4 章 将 详细 讲解 ARP 和 RARP。 

在 学 习 下 面 的 内 容 时 要 记 住 ， 以 太 网 软件 使 用 的 地 址 并 不 是 逻辑 
IP 地 址 ， 但 这 个 地 址 在 网 际 层 的 接口 上 与 了 地 址 有 映射 关系 。 


3.5 以 太 网 


以 太 网 无 疑 是 目前 使 用 最 广泛 的 局 域 网 技术 ， 这 主要 是 因为 它 具 
有 适当 的 价格 。 以 太 网 线 绕 比较 便宜 ， 易 于 安装 ， 以 太 网 网 络 适配器 
和 硬件 组 件 相 对 来 说 也 很 便宜 。 如 果 你 以 往 查看 过 计算 机 的 背面 ， 就 
不 会 对 典型 的 以 太 网 端口 和 线 缆 感 到 陌生。 无线 网 络 的 不 断 发 展 并 没 
有 降低 以 太 网 的 重要 性 。 一 种 重要 的 无 线 局 域 网 形式 被 称 为 “无 线 以 太 
网 ”"， 因 为 它 使 用 了 很 多 标准 以 太 网 的 规范 。 

在 典型 的 以 太 网 上 ， 全 部 计算 机 共享 同一 个 传输 介质 。 以 太 网 使 
用 称 为 载波 侦 听 多 路 访问 /冲突 检测 (CSMA/CD) 的 方法 ， 来 判断 计 
算 机 何 时 可 以 把 数据 发 送 到 访问 介质 。 通 过 使 用 CSMA/CD， 所 有 计 
算 机 都 监视 传输 介质 的 状态 ， 在 传输 之 前 等 待 线 路 空 内 。 如 果 两 台 计 
算 机 尝试 同时 发 送 数 据 ， 就 会 发 生 冲 突 ， 计 算 机 就 会 停止 发 送 ， 等 待 
一 个 随机 的 时 间 间 隔 ， 然 后 再 次 尝试 发 送 。 

CSMA/CD 可 以 比喻 为 一 个 有 很 多 人 的 房间 。 如 果 有 人 和 想 讲话 ， 
首先 要 确认 目前 是 否 有 人 在 讲话 〈 这 就 是 载波 侦 听 ) 。 如 果 两 个 人 同 
时 开始 讲话 ， 他 们 都 会 发 现 这 个 问题 ， 从 而 停止 讲话 ， 等 待 一 段 时 间 
再 开始 讲话 (这 就 是 冲突 检测 ) 。 

传统 以 太 网 在 中 低 负 载 情况 下 运行 恨 好 ， 但 在 大 负载 情况 下 会 由 
于 冲突 的 增多 而 影响 性 能 。 在 现代 以 太 网 中 ， 像 网 络 交 换 机 这 样 的 设 
备 会 对 流量 进行 管理 ， 减 少 冲突 的 发 生 ， 从 而 让 以 太 网 的 运行 更 具 效 
率 。 第 9 章 将 详细 讲解 HUB 和 交换 机 。 

以 太 网 能 够 使 用 多 种 介质 。 传 统 的 基于 HUB 的 10BASE-T 以 太 
网 最 初 的 基带 速率 是 10Mbit/s， 而 现在 速度 为 100Mbit/s 的 “快速 以 太 
网 ”已 经 相当 普及 了 ， 而 1Gbit/s ( 吉 比 特 ) 以 太 网 也 大 量 使 用 了 。 早 期 
以 太 网 经 常 使 用 连续 的 同 轴 电线 作为 传输 介质 (WEB. ， 但 目前 大 
多 数 以 太 网 的 形式 都 是 把 计算 机 连接 到 一 个 网 络 设备 上 ( 见 图 3.5) o 
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图 3.4 在 以 太 网 的 早期 ， 所 有 的 计算 机 通过 一 条 同 轴 电 绕 连 接 
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图 3.5 在 现代 以 太 网 中 ， 计 算 机 通常 都 连接 到 一 个 中 央 网 络 设备 (比如 
交换 机 ) 中 


3.6 剖析 以 太 网 帧 


网 络 访问 层 的 软件 从 网 际 层 接收 数据 报 ， 把 它 转化 符合 物理 网 络 
规范 的 形式 〈 见 图 3.6) 。 在 以 太 网 中 ， 网 络 访问 层 的 软件 必须 把 数据 
转化 成 能 够 通过 网 络 适 配器 硬件 进行 传输 的 形式 。 


Hed FJ 
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图 3.6 网 络 访问 将 数据 格式 化 为 物理 网 络 需要 的 形式 


当 以 太 网 软件 从 网 际 层 接 收 到 数据 报 之 后 ， 执 行 以 下 操作 。 

1. 根据 需要 把 网 际 层 的 数据 分 解 为 较 小 的 块 ， 以 符合 以 太 网 帧 数 
据 段 的 要 求 。 以 太 网 帧 的 整体 大 小 必须 在 64 字 节 与 1518 字 节 之 间 (不 
包含 前 导 码 ) 。 有 些 系统 支持 更 大 的 帧 ， 最 大 可 以 到 9000 字 节 。 这 种 
大 型 帧 能 够 改善 效率 ， 但 存在 着 兼容 性 的 问题 ， 而 且 并 没有 得 到 广泛 
支持 。 

2. 把 数据 块 打包 成 帧 。 每 一 帧 都 包含 数据 及 其 他 信息 ， 这 些 信息 
是 以 太 网 网 络 适配器 处 理 帧 所 需要 的 。IEEE 802.3 以 太 网 帧 包含 以 下 
内 容 。 

> 前 导 码 : 表示 帧 起 始 的 一 系列 比特 (一 共 8 字 节 ， 最 后 一 个 字 
节 是 帧 起 始 符 ) o 

> 目标 地 址 : 接收 帧 的 网 络 适配器 的 6 字 节 (48 比特) 物理 地 
址 。 

> 源 地 址 : 发 送 帧 的 网 络 适配器 的 6 字 节 (48 比特) 物理 地 址 。 

> 可 选 的 VLAN 标 记 : 这 个 可 选 的 16 比 特 字 段 在 802.1g 标 准 中 有 
讲解 ， 其 目的 是 允许 多 个 虚拟 LAN 通 过 同一 个 网 络 交 换 机 运行 。 

> EE: 两 个 字 节 ， 表 示 数 据 段 的 长 度 。 


> 数据 : 帧 中 传输 的 数据 。 

> 帧 校 验 序列 (FCS) : 帧 的 4 字 节 (32 比特 ) 校 验 和 。FCS 是 
检验 数据 传输 的 常见 方式 。 发 送 方 计算 帧 的 循环 宛 余 码 校 验 (CRC) 
值 ， 把 这 个 值 写 到 帧 里 。 接 收 方 计算 机 重新 计算 CRC， 与 FCS 字段 的 
值 进行 比较 ， 如 果 两 个 值 不 相同 ， 就 表示 传输 过 程 中 发 生 了 数据 丢失 
或 改变 ， 这 时 就 需要 重新 传输 这 一 帧 。 

3. 把 数据 帧 传递 给 对 应 于 OSI 模型 物理 层 的 底层 组 件 ， 后 者 把 
帧 转换 为 比特 流 ， 并 且 通 过 传输 介质 发 送出 去 。 

以 太 网 上 其 他 网 络 适 配器 接收 到 这 个 帧 ， 检 查 其 中 的 目的 地 址 。 
如 果 目 的 地 址 与 网 络 适 配器 的 地 址 相 匹配 ， 适 配器 软件 就 会 处 理 接收 
到 的 帧 ， 把 数据 传递 给 协议 栈 中 较 高 的 层 。 


3.7 小 结 


本 章 介 绍 了 网 络 访问 层 ， 这 是 TCP/IP 协议 栈 中 变化 最 多 、 最 复杂 
的 一 层 。 网 络 访问 层 定义 了 与 网 络 硬 件 通信 和 访问 传输 介质 的 过 程 。 
局 域 网 体系 有 很 多 种 ， 导 致 了 网 络 访问 层 有 很 多 不 同 的 规范 。 本 章 以 
以 太 网 为 例 ， 详 细 地 介绍 了 网 络 访问 层 处 理 数据 传输 的 方式 。 

以 太 网 技术 的 应 用 广泛 ， 但 连接 计算 机 的 技术 还 有 很 多 。 任 何 连 
网 技术 都 需要 以 某 种 方式 使 用 物理 网 络 ， 因 此 ， 任 何 TCP/IP 技 术 必 须 
具有 一 个 网 络 访问 层 。 后 面 的 章节 会 介绍 其 他 一 些 物 理 网 络 ， 比 如 
Modem、 无 线 局 域 网 、 移 动 网 络 和 广域网 技术 。 


3.8 ASS 


问 : 网 络 访问 层 定义 了 什么 类 型 的 服务 ? 

答 : 网 络 访问 层 包 含 了 管理 物理 网 络 访问 过 程 的 服务 和 规范 。 

问 : OSI 模 型 中 的 哪 一 层 对 应 于 TCP/IP 网 络 访问 层 ? 

E: 网 络 访问 层 大 致 对 应 于 OSI 模型 里 的 数据 链 路 层 和 物理 层 。 

问 : 最 常用 的 局 域 网 体系 是 什么 ? 

答 : 虽然 无 线 局 域 网 技术 越 来 越 流 行 ， 但 最 常用 的 局 域 网 体系 仍 
然 是 以 太 网 。 

il: 什么 是 CSMA/CD? 

答 : CSMA/CD 是 “载波 侦 听 多 路 访问 /冲突 检测 ”的 英文 缩写 ， 是 
以 太 网 使 用 的 访问 方法 。 在 使 用 这 种 方法 时 ， 网 络 上 的 计算 机 在 传输 
数据 之 前 先 等 待 一 下 ， 如 果 两 台 计 算 机 尝试 同时 发 送 数据 ， 它 们 都 会 
停止 发 送 ， 等 待 一 个 随机 的 时 间 间 隔 ， 再 尝试 发 送 。 


3.9 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


3.9.1 问题 

. 什么 是 CRC? 

. 在 以 太 网 中 ， 什 么 是 冲突 检测 ? 
， 以 太 网 物理 地 址 多 大 ? 

. NDIS 和 ODI 的 用 途 是 什么 ? 

. ARP 具 有 什么 功能 ? 
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3.9.2 练习 

1. 列举 将 物理 地 址 与 1P 地 址 关联 起 来 的 两 种 协议 。 

2. 列举 至 少 4 种 网 络 体系 。 

3. 解释 OSI 介质 访问 控制 子 层 和 逻辑 链 路 控制 子 层 所 执行 的 功 
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3.10 语 


复习 下 列 关 键 术语 : 
> 访问 方法 : 控制 对 传输 介质 访问 的 过 程 。 
> CRC (循环 宛 余 码 校 验 ) : 一 种 计算 检验 和 的 方式 ， 用 于 检 
验 数 据 帧 中 内 容 的 正确 性 。 
> CSMA/CD: 以 太 网 使 用 的 网 络 访问 方法 。 
> 数据 链 路 层 : OSI 模 型 的 第 2 层 。 
> 以 太 网 : 一 种 非常 流行 的 局 域 网 体系 ， 使 用 CSMA/CD 网 络 访 
问 方法 。 
> 帧 校 验 序列 (FCS) : 以 太 网 帧 中 的 字段 ， 包 含 一 个 基于 CRC 
的 校 验 值 ， 用 来 检验 数据 。 
> 逻辑 链 路 控制 子 层 : OSI 数据 链 路 层 的 一 个 子 层 ， 负 责 检 
误 和 管理 子 网 设备 之 间 的 链 路 。 
> 介质 访问 控制 子 层 : OSI 数据 链 路 层 的 一 个 子 层 ， 负 责 与 网 络 
适配器 通信 。 
> 网 络 体系 : 关于 物理 网 络 的 完整 规范 ， 包 括 访问 方法 、 数 据 
帧 、 网 络 布线 的 规范 。 
> 物理 地 址 (或 MAC 地 址 ) : 识别 网 路 网 络 中 网 络 适配器 的 地 
址 。 在 以 太 网 中 ， 物 理 地 址 通常 由 生产 厂商 分 配 ， 但 是 现代 的 一 些 网 
络 适配器 也 允许 对 物理 地 址 进行 配置 。 
> MER: OSI 模型 第 1 层 ， 负 责 把 数据 帧 转化 为 比特 流 以 适合 
传输 介质 的 要 求 。 
> 前 导 码 : 一 系列 比特 ， 表 示 数 据 帧 传输 的 开始 。 
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本 章 介绍 如 下 内 容 : 

> IP 地 址 ; 

> IP 报 头 ; 

> ARP; 

> ICMP. 

上 一 章 讲 到 ， 在 一 个 网 段 (比如 一 个 以 太 局 域 刚 ) 上 的 计算 机 之 
间 能 够 使 用 网 络 访问 层 提供 的 物理 地 址 进行 通信 。 那 么 ， 从 卡 罗 莱 纳 
到 加 利 福 尼 亚 的 电子 邮件 如 何 准 确 到 达 目 的 地 呢 ? 本 章 就 会 介绍 ， 网 
际 层 提 供 的 协议 就 负责 局 域 网 网 段 之 外 的 传递 ， 其 中 重要 的 协议 包括 
IP、ARP 和 ICMP。 

本 章 以 Pnternet 当 前 使 用 的 32 位 二 进 制 ITPv4 地 址 为 主 。 当 今世 界 正 
在 向 128 位 的 新 型 编 址 系统 进行 转换 ， 这 也 就 是 所 称 的 IPv6， 它 提供 
了 增强 的 功能 和 更 大 的 地 址 空间 。 第 13 章 将 详细 讲解 IPv6。 

学 完 本 章 后 ， 你 可 以 : 

> 知道 IP、ARP 和 ICMP 的 用 途 ; 

> 知道 什么 是 网 络 ID 和 主机 ID; 

> 知道 什么 是 八 位 组 ，; 

> 把 点 分 十 进 制 地 址 转换 为 相等 的 二 进 制 形式 ; 

> 把 32 位 的 二 进 制 了 地址 转化 为 点 分 十 进 制 形式 ; 

> 掌握 IP 报 头 的 内 容 ; 

> 知道 IP 地 址 的 用 途 。 


41 寻 址 与 发 送 


在 第 3 章 讲 到 ， 计 算 机 通过 网 络 接口 设备 (比如 网 络 适配器 ) 与 网 
络 进 行 通 信 ， 网 络 接口 设备 具有 唯一 的 物理 地 址 ， 用 于 接收 发 向 该 地 
址 的 数据 。 像 以 太 网 网 卡 这 样 的 设备 对 于 上 层 协 议 层 的 细节 是 一 点 也 
不 了 解 的 ， 它 不 知道 IP 地 址 ， 也 不 知道 发 送 来 的 帧 是 要 给 Telnet 还 是 
FIP， 它 只 是 监听 是 否 收 到 了 数据 帧 ， 发 现 其 中 目标 地 址 与 自己 物理 
地 址 相符 的 帧 ， 并 把 这 个 帧 传递 给 上 层 协 议 栈 。 

这 种 物理 寻 址 方式 适合 单个 局 域 网 网 段 。 由 不 间断 介质 连接 在 一 
起 的 若干 台 计 算 机 利用 物理 地 址 就 可 以 实现 所 需 的 功能 。 只 需 使 用 网 
络 访问 层 的 低级 协议 就 可 以 把 数据 从 网 络 适配器 直接 传递 另 一 个 网 络 
适配器 。 

但 是 ， 在 路 由 式 网 络 中 ， 不 能 利用 物理 地 址 实现 数据 传输 ， 因 为 
根据 物理 地 址 进行 传输 所 需 的 过 程 不 能 跨越 路 由 接口 来 运行 。 即 使 这 
样 是 可 行 的 ， 根 据 物理 地 址 传输 数据 也 是 非常 麻烦 的 ， 因 为 内 置 在 网 
卡 里 的 固定 物理 地 址 不 能 在 地 址 空间 上 引入 逻辑 结构 。 

因此 ，TCP/IP 隐 藏 了 物理 地 址 ， 以 一 种 逻辑 化 、 层 次 化 的 寻 址 方 
案 对 网 络 进行 组 织 。 这 种 逻辑 寻 址 方案 由 网 际 层 的 IP 协 议 维护 ， 而 逻 
辑 地 址 被 称 为 IP 地 址 。 地 址 解析 协议 (ARP) 是 另 一 种 网 际 层 协议 ， 
它 维护 一 个 表格 ， 用 于 把 IP 地 址 映射 到 物理 地 址 。 这 个 ARP 表 连接 了 
IP 地 址 与 网 卡 物理 地 址 。 

在 一 个 路 由 式 网 络 中 〈 见 图 4.1) ，TCP/IP 软 件 使 用 如 下 策略 在 网 
络 上 发 送 数 据 。 
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图 4.1 网 关 接收 去 往 其 他 网 络 的 数据 报 


1. 如 果 目 的 地 址 与 源 地址 在 同一 个 网 段 ， 源 计算 机 就 把 数据 包 直 
接 发 送 给 目的 计算 机 。 卫 地址 被 ARP 解 析 为 物理 地 址 ， 数 据 被 直接 发 
送 到 目的 网 络 适配器 。 

2. 如 果 目 的 地 址 与 产地 址 不 在 一 个 网 段 上 ， 融 执行 如 下 过 程 。 

a) 直接 将 数据 报 发 送 到 网 和 天。 网 关 是 位 于 局 域 网 网 段 上 的 一 个 设 
备 ， 能 够 把 数据 报 转发 到 其 他 网 段 (在 第 1 章 讲 到 ， 网 关 基 本 上 也 算是 
一 个 路 由 器 ) 。 网 关 地 址 被 ARP 解 析 为 物理 地 址 ， 数 据 被 发 送 到 网 关 
的 网 络 适配器 。 

b) 数据 报 通过 网 关 被 路 由 到 较 高 级 别 的 网 段 ( 见 图 4.1) ， 再 次 
重复 上 述 过 程 。 如 果 目 的 地 址 在 这 个 新 网 段 里 ， 数 据 就 被 发 送 到 目 
的 ， 否 则 数据 报 束 会 被 发 送 到 另 一 个 网 关 。 

c) 数据 报 经 过 一 系列 网 关 被 转发 到 目的 网 段 ， 目 的 IP 地 址 被 ARP 
解析 为 物理 地 址 ， 数 据 被 发 送 到 目的 网 络 适配器 。 

为 了 在 复杂 的 路 由 式 网 络 中 传输 数据 ， 网 际 层 协议 必须 具有 以 下 


> 识别 网 络 中 所 有 的 计算 机 ; 

> 提供 一 种 方式 来 判断 何 时 需要 通过 网 关 来 传递 消息 ; 

> 提供 一 种 与 硬件 无 关 的 方式 来 识别 目的 网 段 ， 从 而 让 数据 报 能 
够 高 效率 地 经 过 路 由 器 到 达 正 确 的 网 段 ; 

> 提供 一 种 方式 把 目标 计算 机 的 逻辑 IP 地 址 转化 为 物理 地 址 ， 让 
数据 能 够 传输 给 目的 计算 机 的 网 络 适配器 。 

里 然 从 理论 上 来 说 ， 整 个 世界 正在 转向 新 版 本 的 IPv6， 但 IP 最 常 
见 的 版 本 仍然 是 IPv4。 本 章 会 介绍 IPv4 的 寻 址 系统 ， 介 绍 TCP/IP 如 何 
使 用 网 际 层 的 IP 和 ARP 在 复杂 网 络 上 传输 数据 报 ， 还 会 讨论 网 际 层 的 
ICMP 协 议 如 何 提供 错误 检测 和 排 错 功能 。IPv6 最 终 肯 定 会 成 为 Internet 
通信 的 标准 ， 有 关 IPv6 寻 址 系统 的 讨论 ， 请 见 第 13 章 。 

注意 : 网 际 层 和 OSI 

网 际 层 对 应 于 OSI 模型 的 网 络 层 ， 也 就 是 所 谓 的 第 3 层 。 


4.2 网 际 协 议 (IP 


IP 协 议 提 供 了 一 种 分 层 的 、 与 硬件 无 关 的 寻 址 系统 ， 具 有 在 复杂 
的 路 由 式 网 络 中 传递 数据 所 需 的 服务 。TCP/P 网 络 上 的 每 个 网 络 适 配 
器 都 有 一 个 唯一 的 IP 地 址 。 

注意 : 主机 

在 讨论 TCP/IP 时 ， 我 们 经 常会 说 计算 机 有 一 个 IP 地 址 ， 这 是 因为 
大 多 数 计算 机 只 有 一 个 网 卡 。 然 而 ， 具 有 多 个 网 卡 的 计算 机 也 很 常 
见 ， 比 如 作为 路 由 器 或 代理 服务 器 的 计算 机 必须 有 多 个 网 卡 ， 因 此 也 
就 有 多 个 IP 地 址 。 术 语 “ 主 机 ”通常 用 于 表示 与 某 个 IP 地 址 相关 联 的 网 
络 设备 。 

在 某 些 操作 系统 上 ， 可 以 给 一 个 网 络 适配器 指定 多 个 IP 地 址 。 

网 络 上 的 IP 地 址 是 有 一 定 规则 的 ， 因 此 我 们 可 以 通过 查看 IP 地 址 
来 了 解 主 机 的 位 置 ， 也 就 它 所 在 的 网 络 或 子 网 〈 见 图 4.2) 。 换 句 话 
说 ，IP 地 址 中 一 部 分 有 点 像 邮政 编码 (表明 大 致 区 域 ;， 而 另 一 部 分 
有 点 像 街道 地 址 (表明 大 致 区 域内 的 准确 位 置 ) o 

从 图 4.2 似 乎 可 以 很 容易 地 看 出 * 所 有 以 192.132.134 开 头 的 地 址 都 
在 建筑 C 里 ”>， 但 计算 机 需要 更 明确 的 规则 。IP 地 址 分 为 两 个 部 分 : 

> MID; 

> 主机 ID。 

网 络 必须 提供 一 种 方式 来 判断 IP 地 址 的 哪 一 部 分 是 网 络 ID ， 哪 一 
部 分 是 主机 ID。 不 幸 的 是 ， 真 实 世界 中 网 络 的 多 样 性 和 复杂 性 使 得 我 
们 无 法 使 用 一 个 简单 、 通 用 的 方法 解决 这 个 问题 。 大 型 网 络 具 有 大 量 
主机 ， 因 此 需要 使 用 更 多 的 主机 位 数 作为 主要 标识 。 而 小 型 网 络 不 需 
要 很 多 位 数 就 可 以 上 每 台 主 机 具有 不 同 的 ID ， 但 网 络 数量 的 众多 要 求 
有 更 多 的 位 数 用 于 网 络 ID。 


在 本 章 后 面 将 会 讲 到 ， 该 问题 最 初 的 解决 方案 是 把 IP 地 址 划分 为 
一 系列 地 址 类 。A 类 地 址 使 用 地 址 前 8 位 作为 网 络 ID，B 类 地 址 使 用 前 
16 位 ，C 类 地 址 使 用 前 24 位 。 后 来 这 个 方案 增加 了 一 个 名 为 “ 子 网 划 
分 ”的 特性 ， 用 于 在 本 地 范围 对 网 络 结构 实现 更 好 的 控制 |。 

最 近 新 出 现 的 无 类 别 域 间 路 由 选择 (CIDR) 技术 让 上 述 地 址 分 类 
系统 基本 上 变 得 毫 无 意义 ， 它 目前 在 Intemet 上 非常 流行 ， 为 IP 地 址 提 
供 了 一 种 简单 、 灵 活 和 明确 的 标识 。 
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图 4.2 通过 查看 地 址 可 以 了 解 网 络 


如 果 想 了 解 TCP/IP 网 络 ， 掌 握 基 于 分 类 的 寻 址 系统 和 CIDR 寻 址 都 
是 很 重要 的 。 第 15 章 将 会 详细 讲解 这 些 技术 。 现 在 只 需 记 住 这 些 标识 
方案 的 目标 是 一 致 的 : 把 了 地 址 区 分 为 网 络 ID 与 主机 ID。 
注意 : 子 网 划分 
本 章 要 与 第 5 章 一 起 学 习 。 不 了 解 子 网 ID 和 CIDR， 就 不 能 真正 掌 
握 IP 寻 址 的 巧妙 所 在 。 第 13 章 讲 到 的 IPv6 知 识 对 于 完整 地 掌握 Internet 
寻 址 也 是 很 重要 的 。 尽 管 开 放 的 Internet 正 在 向 全 面 支持 IPv6 转 型 ， 


NAT 的 广泛 使 用 (以 及 充分 使 用 IPv6 增 强 特性 的 应 用 程序 并 不 多 见 ) 
意味 着 IPv4 在 可 以 见 到 的 未 来 仍然 会 有 一 席 之 地 。 本 书 第 13 章 将 讲解 
IPv4 地 址 与 IPv6 地 址 之 间 的 映射 。 


4.2.1 IP 报 头 字 


每 个 I1P 数 据 报 都 以 一 个 IP 报 头 开 始 。 源 计算 机 的 TCP/IP 软 件 构造 
这 个 IP 报 头 ， 目 的 计算 机 的 TCP/IP 软 件 利 用 IP 报 头 中 封装 的 信息 处 理 
数据 。IP 报 头 包 含 大 量 信 息 ， 包 括 源 IP 地 址 、 目 的 IP 地 址 、 数 据 报 长 
度 、IP 版 本 号 和 对 路 由 器 的 特殊 指令 。 

注意 : 报头 的 更 多 细节 

EX IP 报 头 的 更 多 细节 ， 请 参见 RFC 791。 

IP 报 头 的 最 小 长 度 是 20 字 节 ， 图 4.3 所 示 为 IP 报 头 的 内 容 。 

图 4.3 中 的 报头 字段 如 下 所 示 。 

> 版 本 : 这 个 4 位 的 字段 表示 所 使 用 的 IP 版 本 。 目 前 IP 版 本 是 4， 
相应 的 二 进 制 是 0100。 

> 网 际 报头 长 度 (IHL) : 这 个 4 位 字段 表示 IP 报 头 以 32 位 字 为 
单位 的 长 度 。 了 P 报 头 的 最 小 长 度 是 5 个 32 比 特 字 ， 相 应 的 二 进 制 表示 是 
0101。 


比特 位 置 : 0 4 8 16 24 31 


目的 IP 地 址 
更 多 数据 …? 


图 4.3 IP 报 头 字段 


> 服务 类 型 : 源 IP 能 够 指定 特殊 的 路 由 信息 。 有 些 路 由 器 会 忽略 
这 个 字段 的 信息 ， 但 随 着 服务 质量 (QoS) 技术 的 出 现 ， 这 个 字段 得 
到 了 更 多 的 重视 。 这 个 8 位 字段 的 主要 用 途 是 对 等 待 通过 路 由 器 的 数 
据 报 区 分 优先 级 ， 而 目前 大 多 数 IP 实 现 把 是 这 个 字段 全 填 为 0。 

> AKE: 这 个 16 位 的 字段 表示 IP 数据 报 的 长 度 ， 单 位 是 字 节 ， 
这 个 长 度 包 含 了 IP 报 头 和 数据 载荷 。 

> 标识 : 这 个 16 位 的 字段 是 一 个 依 序 变 大 的 数值 ， 分 配给 源 IP 发 
出 的 消息 。 当 传递 到 IP 层 的 消息 太 大 而 不 能 放 到 一 个 数据 报 里 时 ，IP 
会 把 消息 拆 分 到 多 个 数据 报 ， 并 对 这 些 数 据 报 排 序 分 配 相 同 的 标识 
号 。 接 收 端 利用 这 些 数值 重组 为 原始 消息 。 

> 标记 : 这 个 字段 表示 分 段 可 能 性 。 第 1 位 未 使 用 ， 其 值 应 该 为 
0。 第 2 位 称 为 DF (ADE) ， 表 示 是 否 允 许 分 段 ，0 表 示人 允许 ，1 表 
示 不 人 允许。 第 3 位 是 MF (更 多 分 段 ) ， 表 示 是 否 还 有 分 段 正在 传输 ， 
设置 为 0 时 表示 没有 更 多 分 段 需要 发 送 ， 或 是 数据 报 根 本 疫 有 分 段 。 


> 分 段位 移 : 这 个 13 位 的 字段 是 一 个 数值 ， 被 赋予 每 个 连续 的 
分 段 。 目 的 设备 的 IP 利 用 这 个 值 以 正确 的 次 序 重 组 分 段 。 这 个 数值 使 
用 的 单位 是 8 字 节 。 

> 生存 时 间 (TTL) : 这 个 字段 表示 数据 报 在 被 抛弃 之 前 能 够 保 
留 的 时 间 (以 秒 为 单位 ) 或 路 由 器 跳 数 。 每 个 路 由 器 都 会 检查 这 个 字 
段 ， 并 且 至 少 把 它 减 去 1， 或 数据 报 在 路 由 器 中 延迟 的 秒 数 。 当 这 个 
字段 的 值 为 0 时 ， 数 据 报 会 被 抛弃 。 

> 跳 数 代表 数据 报到 达 目 的 之 前 必须 经 过 的 路 由 器 的 数量 。 如 果 
数据 报 在 到 达 目 的 之 前 经 过 了 5 个 路 由 器 ， 我 们 就 说 距离 目的 有 5 跳 。 

> 协议 : 这 个 8 位 的 字段 表示 接收 数据 载荷 的 协议 ， 比 如 协议 标 
IRA 6 (二 进 制 为 00000110) 的 数据 报 会 被 传递 到 TCP 模 块 。 下 面 是 
一 些 常见 的 协议 标识 值 。 


协议 名 称 协议 标识 


ICMP 1 


TCP 6 


UDP 17 


> 报头 校 验 和 : 这 个 字段 包含 16 位 的 校 验 和 ， 只 用 于 检验 报头 本 
身 的 有 效 性 。 数 据 报 经 过 的 每 个 路 由 器 都 会 对 这 个 值 进 行 重新 计算 ， 
因为 TTL 字 上 段 的 值 是 在 不 断 变 化 的 。 

> 源 IP 地 址 : 这 个 32 位 的 字段 包含 了 数据 报 的 源 IP 地 址 。 

> 目的 IP 地 址 : 这 个 32 位 的 字段 包含 了 数据 报 的 目的 IP 地 址 。 目 
的 IP 根 据 这 个 值 检验 发 送 的 正确 性 。 

> IP 选 项 : 这 个 字段 支持 一 些 可 选 的 报头 设置 ， 主 要 用 于 测试 、 
调试 和 安全 的 目的 。 这 些 选项 包括 严格 源 路 由 (数据 报 必 须 经 过 指定 
的 路 由 ) 、 网 际 时 间 戳 〈 经 过 每 个 路 由 器 时 的 时 间 戳 记录 ) 和 安全 限 
制 |。 

> 填充 : IP 选 项 字段 的 长 度 不 是 固定 的 。 填 充 字 段 可 以 提供 一 些 
额外 的 0， 从 而 保证 整个 报头 的 长 度 是 32 位 的 整 倍数 (报头 长 度 必须 是 
32 位 字 的 整 倍数 ， 因 为 “网 际 头 长 度 (HL) "字段 以 32 位 字 为 单位 表 
示 报 头 的 长 度 ) 。 

> IP 数 据 载 荷 : 这 个 字段 一 般 用 于 保存 传递 给 TCP 或 UDP (在 传 
输 层 中 ) 、ICMP 或 IGMP 的 数据 。 数 据 块 的 长 度 不 定 ， 可 以 包含 数 干 

TJ 


o 


4.2.2 IP 寻 址 


IP 地 址 是 一 个 32 位 的 地 址 ， 被 分 为 4 个 8 位 段 ( 八 位 组 ) 。 人 们 不 
习惯 使 用 32 位 的 二 进 制 地 址 或 8 位 的 二 进 制 八 位 组 ， 所 以 IP 地 址 最 常用 
的 表达 形式 是 “点 分 十 进 制 形 式 ”。 在 这 种 形式 里 ， 每 个 八 位 组 都 以 相 
应 的 十 进 制 数值 表示 ，4 个 十 进 制 数 值 以 句点 分 隔 。8 位 二 进 制 可 以 表 
示 0 人 255 之 间 的 数值 ， 所 以 这 种 形式 中 每 个 十 进 制 的 数值 都 位 于 0 人 ~ 
255 之 间 。 扣 分 十 进 制 IP 地 址 是 这 个 样子 的 : 209.121.131.14。 

IP 地 址 中 的 一 部 分 是 网 络 ID ， 另 一 部 分 是 主机 ID。 本 章 前 面 讲 
到 ， 划 分 网 络 ID 和 主机 ID 的 最 初 方案 是 使 用 地 址 分 类 。 虽 然 最 近 出 现 
的 CIDR 无 类 别 寻 址 降低 了 地 址 分 类 的 重要 性 ， 但 作为 理解 TCP/IP 寻 址 
的 一 个 出 发 点 ， 地 址 分 类 还 是 值得 在 此 进行 讨论 的 。 

地 址 分 类 系统 把 IP 地 址 划分 到 不 同 的 地 址 类 。 绝 大 多 数 趾 地址 属 
于 以 下 几 类 。 

> A 类 地 址 : IP 地 址 的 前 8 位 表示 网 络 ID ， 后 24 位 表示 主机 ID。 

> B 类 地 址 : IP 地 址 的 前 16 位 表示 网 络 ID， 后 16 位 表示 主机 ID。 

> C 类 地 址 : IP 地 址 的 前 24 位 表示 网 络 ID， 后 8 位 表示 主机 ID。 

使 用 的 位 数 越 多 ， 包 含 的 组 合 就 越 多 。 显 而 易 见 ，A 类 地 址 提供 
了 较 少 的 网 络 ID， 但 每 个 网 络 都 具有 大 量 可 用 的 主机 ID。 一 个 A 类 网 
络 大 约 可 以 包含 224， 也 就 是 16777216 台 主机 。 与 之 相对 的 是 ，C 类 地 
址 只 能 包含 较 少 的 主机 (254 台 ， 也 就 是 28， 或 256 减 去 不 可 用 的 全 0 地 
址 和 全 1 地 址 ) ， 但 网 络 ID 的 组 合 就 非常 多 了 。 

那么 ， 计 算 机 或 路 由 器 如 何 判 断 一 个 IP 地 址 是 A 类 、B 类 还 是 C 类 
NE? TCP/IP 地 址 的 规则 使 得 地 址 本 身 就 可 以 说 明 其 类 别 : 二 进 制 地 址 
的 前 几 个 位 说 明了 地 址 属于 哪 一 类 ( 见 表 4.1) ， 规 则 如 下 : 

> 如 果 32 位 的 地 址 以 0 开头 ， 它 就 是 A 类 地 址 ，; 

> 如 果 32 位 的 地 址 以 10 开 头 ， 它 就 是 B 类 地 址 ，; 


> 如 果 32 位 的 地 址 以 110 开 头 ， 它 就 是 C 类 地 址 。 

这 种 规则 很 容易 转化 为 点 分 十 进 制 形 式 ， 因 为 它们 有 效 地 限制 了 
地 址 中 第 一 个 值 的 范围 。 例 如 ， 由 于 A 类 地 址 中 第 一 个 值 的 最 高 位 必 
须 是 0， 所 以 在 点 分 十 进 制 的 形式 中 ， 第 一 个 值 不 能 大 于 127。 稍 后 我 
们 会 更 详细 地 介绍 如 何 把 二 进 制 数值 转化 为 十 进 制 。 表 4.1 展 示 了 A 
类 、B 类 和 C 类 网 络 的 地 址 范围 。 注 意 ， 有 一 些 地 址 范围 被 排除 在 外 ， 
它们 都 是 为 特殊 应 用 所 保留 的 。 这 些 特殊 的 IP 地 址 将 在 本 章 后 面 讲 


解 。 


表 4.1 A 类 、B 类 和 C 类 网 络 的 地 址 范围 


地 址 类 二 进 制 地 址 前 几 位 值 点 分 十 进 制 地 址 中 第 一 个 字段 值 排除 地 址 


A 0 0 一 127 10.0.0.0—10.255,255.255 


127.0.0.0~ 127.255.255.255 


B 10 128—191 172.16.0.0~ 172,31.255.255 


Cc 110 192~223 192.168.0.0~ 192.169.255.255 


注意 : D 类 和 E 类 地 址 

Internet 规 范 还 定义 了 特殊 用 途 的 D 类 和 E 类 地 址 。D 类 地 址 用 于 多 
播 。 多 播 是 把 一 个 消息 发 送 到 网 络 的 子 网 ， 这 与 广播 是 不 同 的 ， 后 者 
需要 网 络 上 全 部 节点 都 进行 处 理 。D 类 地 址 最 前 面 的 4 位 是 1110， 对 
应 于 十 进 制 数 值 是 224~239。E 类 网 络 是 实验 性 质 的 ， 一 般 不 用 于 生 
产 环境 。E 类 网 络 地 址 最 前 面 的 5 位 是 11110， 对 应 于 十 进 制 数值 是 240 
~247。 

网 络 管理 员 可 以 把 网 络 划 分 为 更 小 的 次 级 网 络 ， 这 被 称 为 子 网 。 
划分 子 网 的 实质 就 是 借用 主机 ID 中 的 一 些 位 ， 在 网 络 内 创建 额外 的 
网 络 。 根 据 前 面 的 分 类 介绍 ， 我 们 很 容易 会 想到 具有 大 量 主机 ID 的 A 
类 和 B 类 地 址 会 广泛 使 用 子 网 划分 技术 。 当 然 ，C 类 网 络 也 会 使 用 子 网 
划分 技术 。 第 5 章 将 详细 讲解 子 网 划分 。 

注意 ; 地 址 是 否 唯一 

从 理论 上 讲 ，Internet 上 每 台 计 算 机 都 必须 有 一 个 唯一 的 IP 地 址 。 
在 实际 应 用 中 ， 代 理 服务 器 软件 和 NAT 设 备 的 使 用 让 未 注册 和 非 唯一 
的 地 址 也 可 以 连接 Internet。 第 12 章 将 降息 讲解 NAT 设 备 。 


4.2.3 将 32 位 的 二 进 制 地 址 转换 为 点 分 十 进 制 形式 


二 进 制 数字 (基数 是 2) 类 似 于 十 进 制 数字 (基数 是 10) ， 只 是 
每 一 位 代表 的 值 是 2 的 乘 方 而 不 是 10 的 乘 方 。 如 图 4.4 所 示 ， 十 进 制 数 
字 从 最 右边 代表 1 的 位 置 开 始 ， 每 向 左 移 一 位 所 代表 的 值 就 乘 以 10。 整 
个 数字 的 值 就 是 每 一 位 上 的 值 之 和 。 例 如 ， 在 图 4.4 中 ， 十 进 制 数字 
126325 的 值 是 这 样 得 出 来 的 : (1x100100)+(2x10000)+(6x1000)+ 
(3x100)+(2x10)+(5x1)=1263250 


二 进 制 数字 最 右边 的 位 置 也 代表 1， 每 向 左 移 一 位 所 代表 的 值 就 乘 
以 2 〈 见 图 4.5) o 
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SES Se & 1 x 100,000 = 100,000 
DEN 2x 10,000 = 20,000 
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5 x 1 = 二 5 
126,325 


相等 


图 4.4 基数 为 10 的 计数 系统 
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“ 进 制 10110111 = 十 进 制 183 
图 4.5 基数 为 2 的 计数 系统 
注意 : 0 和 1 
计算 机 以 二 进 制 形式 工作 ， 因 为 0 和 1 正好 与 数字 电路 的 开 和 关 状 
态 相 对 应 。 


只 要 把 二 进 制 数值 中 为 1 的 位 置 所 代表 的 数值 相 加 起 来 ， 就 可 以 得 
到 相应 的 十 进 制 数值 。IP 地 址 是 由 4 个 八 位 组 组 成 的 ， 每 个 八 位 组 必须 


单独 进行 转换 。 


下 面 的 例子 展示 了 如 何 把 32 位 的 二 进 制 耻 地 址 转化 为 


点 分 十 进 制 形式 。 
转化 二 进 制 地 址 01011001000111011100110000011000 的 步骤 如 


Fo 
1. 把 地 址 
八 位 组 1: 
八 位 组 2: 
八 位 组 3: 
八 位 组 4: 
2. 把 每 一 


划分 为 8 位 的 八 位 组 。 

01011001 

00011101 

11001100 

00011000 

个 八 位 组 转化 为 十 进 制 数值 ， 其 过 程 如 表 4.2 所 示 。 


24.2 把 二 进 制 地 址 转化 为 点 分 十 进 制 形式 


八 位 组 二 进 制 值 计算 十 进 制 什 
1 01011001 1+8+16+64 89 

2 00011101 1+4+8+16 29 

3 11001100 4+8+64+128 204 

4 00011000 8+16 24 


3. 按照 从 左 到 右 的 次 序 写 下 十 进 制 值 ， 用 句点 分 隔 每 个 值 。 

地 址 就 是 : 89.29.204.24 

本 章 后 面 的 练习 里 有 其 他 一 些 把 二 进 制 地 址 转化 为 点 分 十 进 制 形 
式 的 题目 ， 读 者 可 以 多 加 练习 。 


4.2.4 | VAN 


十 进 制 数值 转化 为 二 进 制 八 位 组 就 是 图 4.5 所 示 过 程 的 相反 过 
程 ， 也 就 是 把 地 址 中 每 个 点 分 十 进 制 值 转化 为 二 进 制 八 位 组 ， 再 把 这 
些 八 位 组 连接 起 来 。 下 面 的 过 程 展示 了 如 何 把 十 进 制 207 转 化 二 进 制 八 
位 组 。 

注意 : 更 多 的 二 进 制 位 值 

这 个 过 程 使 用 的 是 代表 IP 地 址 八 位 组 的 十 进 制 数值 。 如 果 十 进 制 
数值 大 于 255， 我 们 就 需要 扩展 图 4.5 中 所 示 的 二 进 制 位 值 ， 并 相应 地 
调整 转换 过 程 。 

把 十 进 制 207 转 化 为 二 进 制 八 位 组 的 步骤 如 下 所 示 。 

1. 把 要 转化 的 值 (本 例 是 207) 与 128 相 比 。 如 果 大 于 等 于 128， 
就 把 它 减 去 128， 并 写 下 1。 如 果 小 于 128， 就 减 去 0， 并 写 下 0。 

207>128 

207-128=79 

值 128 对 应 的 位 写 下 1 

到 目前 为 止 的 结果 : 1 

2. 采用 第 1 步 里 得 到 的 结果 (本 例 是 79) ， 把 它 与 64 相 比 。 如 果 
大 于 等 于 64， 就 减 去 64， 并 写 下 1。 如 果 小 于 64， 就 减 去 0， 并 写 下 0。 

79>64 

79-64=15 

值 64 对 应 的 位 写 下 1 

到 目前 为 止 的 结果 : 11 

3. 采用 第 2 步 里 得 到 的 结果 〈 本 例 是 15) ， 把 它 与 32 相 比 。 如 果 
大 于 等 于 32， 就 减 去 32， 并 写 下 1。 如 果 小 于 32， 就 减 去 0， 并 写 下 0。 

15<32 

15-0=15 


值 32 对 应 的 位 写 下 0 

到 目前 为 止 的 结果 : 110 

4. 采用 第 3 步 里 得 到 的 结果 ， 把 它 与 16 相 比 。 如 果 大 于 等 于 16， 
就 减 去 16， 并 写 入 1。 如 果 小 于 16， 就 减 去 0， 并 写 下 0。 

15<16 

15-0=15 

值 16 对 应 的 位 写 下 0 

到 目前 为 止 的 结果 : 1100 

5. 把 第 4 步 得 到 的 结果 与 8 相 比 。 如 果 大 于 等 于 8， 就 减 去 8， 并 写 
下 1。 如 果 小 于 8， 就 减 去 0， 并 写 下 0。 

15>8 

15-8=7 

值 8 对 应 的 位 写 下 1 

到 目前 为 止 的 结果 : 11001 

6. 把 第 5 步 得 到 的 结果 与 4 相 比 。 如 果 大 于 等 于 4， 就 减 去 4， 并 写 
下 1。 如 果 小 于 4， 就 减 去 0， 并 写 下 0。 

7>4 

7-4=3 

值 4 对 应 的 位 写 下 1 

到 目前 为 止 的 结果 : 110011 

7. 把 第 6 步 得 到 的 结果 与 2 相 比 。 如 果 大 于 等 于 2， 就 减 去 2， 并 写 
下 1。 如 果 小 于 2， 就 减 去 0， 并 写 下 0。 

3>2 

3-2=1 

值 2 对 应 的 位 写 下 1 

到 目前 为 止 的 结果 : 1100111 


8. 如 果 第 7 步 得 到 的 结果 是 1， 就 写 下 1。 如 果 第 7 步 得 到 的 结果 是 
0， 就 写 下 0。 

fai 

值 1 对 应 的 位 写 下 1 

最 后 结果 : 11001111 

这 样 就 把 十 进 制 数值 207 转 化 为 相应 的 二 进 制 11001111。 


4.2.5 IP 地 址 


有 一 些 IP 地 址 具有 特殊 含义 ， 不 会 分 配给 主机 。 全 0 的 主机 ID 表示 
网 络 本 身 。 例 如 ， 了 P 地 址 129.152.0.0 是 指 网 络 ID 为 129.152 的 B 类 网 
络 。 

全 1 的 主机 ID 表示 广播 。 广 播 是 向 网 络 中 全 部 主机 发 送 的 消息 。 卫 
地 址 129.152.255.255 就 是 网 络 ID 为 129.152 的 B 类 网 络 的 广播 地 址 (十 
进 制 的 255 对 应 于 全 1 的 八 位 组 11111111) o 

地 址 255.255.255.255 也 可 以 用 于 网 络 上 的 广播 。 

以 十 进 制 值 127 开头 的 地 址 是 环 回 地 址 。 目 的 地 址 为 环 回 地 址 的 
消息 是 由 本 地 TCP/IP 软 件 发 送 的 ， 其 目的 在 于 测试 TCP/IP 软 件 是 否 工 
作 正 常 。 第 14 章 将 会 讲 到 ping 功 能 的 使 用 。 通 常 使 用 的 环 回 地 址 是 
127.0.0.1。 

RFC 1597 (之 后 被 RFC 1918 取 代 ) 保留 了 一 些 IP 地 址 范围 用 于 私 
有 网 络 ， 其 设想 是 ， 这 些 私 有 网 络 不 会 连接 到 Internet， 所 以 不 必要 求 
是 唯一 的 。 目前， 这 些 私 有 地 址 范围 经 常用 于 “网 络 地 址 转换 

(NAT) “设备 背后 的 受 保护 网 络 。 

> 10.0.0.0~10.255.255.255 

> 172.16.0.0~172.31.255.255 

> 192.168.0.0~192.168.255.255 

由 于 私有 地 址 范围 不 必 与 其 余地 址 同步 ， 所 以 整个 地 址 范围 对 于 
任何 网 络 都 是 可 用 的 。 网 络 管理 员 利 用 这 些 私 有 地 址 可 以 获得 更 大 的 
子 网 空间 和 可 用 地 址 范围 。 

地 址 范围 169.254.0.0~169.255.255.255 保留 用 于 自动 配置 。 第 12 
章 将 会 讲 到 零 配置 系统 (Zeroconf system) 和 其 他 自动 配置 协议 。 


4.3 地 址 IX (ARP 


前 面 讲 到 ， 局 域 网 上 的 计算 机 使 用 网 际 层 的 地 址 解析 协议 
(ARP) 把 IP 地 址 映射 为 物理 地 址 。 主 机 必须 知道 目的 网 络 适配器 的 
物理 地 址 才能 向 它 发 送 数 据 ， 由 此 可 见 ，ARP 是 一 个 重要 的 协议 。 但 
是 TCP/IP 的 实现 方式 让 ARP 和 关于 物理 地 址 转换 的 任何 细节 对 于 用 户 
来 说 几乎 是 完全 透明 的 ， 对 于 用 户 来 说 ， 网 络 适配器 就 是 以 IP 地 址 标 
识 的 。 然 而 在 幕后 ，IP 地 址 必须 映射 到 物理 地 址 ， 消 息 才 能 到 达 目 的 
地 。 

网 段 上 每 台 主 机 在 内 存 中 都 保存 着 一 个 被 称 为 ARP RK ARP 缓 
存 的 表格 ， 其 中 包含 着 网 段 上 其 他 主机 的 IP 地 址 与 物理 地 址 的 对 应 关 
A 〈 见 图 4.6) 。 当 主机 需要 向 网 段 上 的 其 他 主机 发 送 数据 时 ， 它 会 查 
看 ARP 缓 存 来 获得 目的 的 物理 地 址 。ARP 缓 存 是 动态 变化 的 。 如 果 要 
接收 数据 的 地 址 当前 并 不 存在 于 ARP 缓存 ， 主 机 就 会 发 送 一 个 名 为 
ARP 请 求 帧 的 广播 。 


IP: 206.154.13.82 
物理 地 址 ;: 00-E0-98-07-8E-39 


=) IP: 206.154.13.83 
物理 地 址 : 35-00-21-01-31 


za IP: 206.154.13.85 
物理 地 址 : 91-03-20-51-09-26 


IP: 206.154.13.84 
物理 地 址 : 44-45-53-54-00-00 


00-E0-98-07-8E-39 206.154.13.82 


35-00-21-01-3B-14 206.154.13.83 
44-45-53-54-00-00 206.154.13.84 


图 4.6 ARP 把 IP 地 址 映射 为 物理 地 址 


ARP 请 求 帧 包含 未 解析 的 IP 地 址 ， 还 包含 发 送 这 个 请 求 的 主机 的 
IP 地 址 和 物理 地 址 。 网 段 上 的 其 他 主机 接收 到 这 个 ARP 请 求 ， 拥 有 这 
个 未 解析 IP 地 址 的 主机 会 向 发 出 请 求 的 主机 发 送 自己 的 物理 地 址 。 这 
个 新 的 了 地 址 与 物理 地 址 的 对 应 关系 融会 添加 到 请 求 主机 的 ARP 缓 存 
里 。 

一 般 来 说 ，ARP 缓 存 里 的 条 目 在 一 定时 间 之 后 会 过 期 ， 条 目 就 会 
被 从 表 里 删除 。 当 主机 需要 向 这 个 条 目 所 包含 的 IP 地 址 发 送 数据 时 ， 
解析 过 程 会 再 次 重复 。 


4.4 ARP (RARP 


RARP 的 含义 是 逆向 ARP， 也 就 是 ARP 的 逆 过 程 。 当 我 们 知道 下地 
址 而 不 知道 物理 地 址 时 ， 可 以 使 用 ARP; 而 在 知道 物理 地 址 而 不 知道 
IP 地 址 时 ， 则 应 使 用 RARP。RARP 经 常 与 BOOTP 协 议 共 同 使 用 来 启动 
无 盘 工 作 站 。 

EA: BOOTP (启动 PROM) 

很 多 网 络 适 配器 具有 一 个 空 的 插 槽 ， 支 持 被 称 为 “启动 PROM 的 
集成 电路 。 计 算 机 一 加 电 ，PROM 固 件 就 会 启动 ， 从 网 络 服务 器 而 不 
是 本 地 硬盘 来 读 取 并 加 载 操作 系统 。 下 载 到 BOOTP 设备 的 操作 系统 
被 预 配置 为 特定 的 IP 地 址 。 


4.5 Internet 控 制 消息 协议 (ICMP 


发 送 到 远程 计算 机 的 数据 通常 会 经 过 一 个 或 多 个 路 由 强 ， 这 些 路 
由 器 在 把 数据 传输 到 最 终 目的 地 的 过 程 中 可 能 发 生 多 种 问题 。 路 由 器 
利用 Internet 控 制 消息 协议 (ICMP) 消息 把 问题 通知 给 源 IP。ICMP 还 
有 用 于 其 他 调试 和 排 错 的 功能 。 

下 面 列 出 了 最 常见 的 ICMP 消 息 。 当 然 ， 还 有 其 他 一 些 情形 会 产生 
ICMP 消 息 ， 但 它们 发 生 的 概率 是 相当 低 的 。 

> Echo Request ( 回 显 请 求 ) 和 Echo Reply ( 回 显 应 答 ) : 
ICMP 经 常 被 用 于 测试 ， 比 如 测试 连接 的 ping 命 令 实 际 上 就 是 在 使 用 
ICMP。Pping 辐 菜 个 卫 地 址 发 送 一 个 数据 报 ， 并 且 要 求 目 的 计算 机 在 响 
应 中 返回 所 发 送 的 数据 。ping 实 际 使 用 的 命令 是 ICMP 的 Echo Request 
和 Echo Replyo 

> Source Quench ( 源 抑制 ) : 如 果 一 台 高 速 计算 机 向 远程 计算 
机 发 送 大 量 数据 ， 可 能 会 使 路 由 器 产生 过 载 。 这 时 路 由 器 可 以 利用 
ICMP 向 源 耳 发 送 Source Quench 消 息 ， 让 它 降 低 发 送 数 据 的 速度 。 如 
果 有 必要 ， 还 可 以 向 源 IP 发 送 额 外 的 源 抑制 消息 。 

> Destination Unreachable (目的 不 可 到 达 ) : 如 果 路 由 器 收 到 
一 个 不 能 传递 的 数据 报 ，ICMP 就 会 向 源 IP 返 回 一 个 Destination 
Unreachable 消 息 。 路 由 器 不 能 传递 消息 的 原因 之 一 是 网 络 由 于 设备 故 
障 或 维修 而 关闭 。 

> Time Exceeded (超时 ) : 当 数 据 报 由 于 TILA 0 而 被 抛弃 
时 ，ICMP 就 会 向 源 P 发 送 这 个 消息 。 这 表示 对 于 当前 TIL 值 来 说 ， 到 
达 目 标 需 要 经 过 太 多 的 路 由 器 ; 或 者 是 说 明 路 由 表 出 了 问题 ， 导 致 数 
据 报 在 同一 台 路 由 器 上 连续 循环 。 


> 当 数 据 报 无 限 循 环 且 永远 不 能 到 达 目 的 地 时 ， 就 会 发 生路 由 环 
路 。 假 设 3 台 路 由 器 分 别 位 于 洛杉矶 、 旧 金山 和 丹佛 。 洛 杉 矶 的 路 由 器 
向 旧金山 的 路 由 器 发 送 一 个 数据 报 ， 后 者 又 发 送 给 丹佛 ， 丹 佛 又 发 送 
给 洛杉矶 。 这 样 一 来 ， 数 据 报 就 被 陷 在 其 中 ， 不 断 在 这 3 台 路 由 器 之 间 
循环 ， 直 到 TITL 为 0。 路 由 环 路 不 应 该 发 生 ， 但 偶尔 也 会 出 现 。 当 网 络 
管理 员 在 路 由 表 里 设 置 了 一 条 静态 路 由 时 ， 有 时 就 可 能 导致 环 路 路 
由 。 

> Fragmentation Needed 〈 需 要 分 段 ) : 如 果 一 个 数据 报 的 
“Don’t Fragment (不 可 分 解 ) ”位 被 设置 为 1， 而 路 由 器 必须 要 对 数据 
报 进 行 分 段 才能 把 它 转发 到 下 一 台 路 由 器 或 目的 地 ， 这 时 ICMP 就 会 发 


送 这 条 消息 。 


4.6 网 际 层 


网 际 层 还 包含 还 一 些 协 议 ， 比 如 用 于 路 由 进程 的 边界 网 天 协议 
(BGP) 和 路 由 信息 协议 (RIP) 。 第 8 章 将 会 详细 讲解 TCP/IP 中 的 路 
由 内 容 。 

IPSec 协 议 在 IPv4 里 是 可 选 的， 但 在 IPv6 里 就 是 必需 的 。 它 也 工作 
于 网 际 层 ， 提 供 一 个 安全 的 加 密 通 信 ( 见 第 11 章 ) 。 其 他 一 些 网 际 协 
议 还 包括 用 于 多 播 的 协议 。 正 如 前 面 所 提 到 的 ， 网 际 层 对 应 于 OSI 模 
型 的 第 3 层 ， 所 以 一 切 被 称 为 第 3 层 协议 的 协议 都 工作 于 网 际 层 。 


4.7 小 结 


本 章 介 绍 了 网 际 层 协议 PP、ARP、RARP 和 ICMP。 了 P 提 供 了 一 种 
与 硬件 无 关 的 寻 址 系统 ， 用 于 在 网 络 上 传输 数据 。 我 们 学 习 了 二 进 制 
和 点 分 十 进 制 耻 地址 格式 ， 以 及 了 P 地 址 的 A、B、C、D 和 E 类 地 址 。 
ARP 是 把 IP 地 址 解析 为 物理 地 址 的 协议 ，RARP 是 ARP 的 逆 过 程 ， 可 以 
让 无 盘 计算 机 向 服务 器 进行 查询 来 获得 自己 的 了 地址 。ICMP 是 用 于 诊 
断 和 测试 的 协议 。 
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问 : 常用 什么 地 址 标记 方式 来 简化 32 位 二 进 制 地 址 ? 

答 : 点 分 十 进 制 。 

问 : 在 收 到 一 个 IP 地 址 时 ，ARP 会 返回 什么 信息 ? 

答 : 相应 的 物理 (或 MAC) 地 址 。 

问 : 如 果 路 由 器 来 不 及 处 理 大 量 流量 ， 源 IP 会 收 到 什么 类 型 的 
ICMP 消 息 ? 

答 : Source Quench ( 源 抑 制 ) 消息 。 

问 : 以 110 开 头 的 二 进 制 地 址 属于 哪 一 类 IP 地 址 ? 

E: C 类 地 址 。 


4.9 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


4.9.1 问题 


. IP 报头 中 的 TTL 字段 的 用 途 是 什么 ? 

. A 类 地 址 中 的 网 络 ID 和 主机 ID 的 范围 分 别 是 多 大 ? 
. 什么 是 八 位 组 ? 

. IP 地 址 是 什么 的 地 址 ? 

. ARP 和 RARP 之 间 的 区 别 是 什么 ? 


0 人 WÙ N e 


4.10 练习 


1. 把 以 下 二 进 制 八 位 组 转化 为 相应 的 十 进 制 数值 。 
00101011 ”答案 =43 

01010010 ”答案 =82 

11010110 %&&=214 

1011011 ”答案 =183 

01001010 ”答案 =74 

01011101 ”答案 =93 

10001101 ”答案 ==141 

1101110 %3&=22 

2. 把 以 下 十 进 制 值 转化 为 二 进 制 八 位 组 。 
13 ”答案 = 二 00001101 

184 ”答案 ==10111000 

238 答案 三 11101110 


37 %3 =00100101 
98 3==01100010 
161 ”答案 ==10100001 
243 ”作案 二 11110011 


189 ”答案 ==10111101 

3. 把 下 面 的 32 位 IP 地 址 转化 为 点 分 十 进 制 形式 。 

11001111 00001110 00100001 01011100 ”答案 ==207.14.33.92 
00001010 00001101 01011001 01001101 答案 三 10.13.89.77 
10111101 10010011 01010101 01100001 ”答案 二 189.147.85.97 
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复习 下 列 关键 术语 : 

> 地 址 类 : IP 地 址 的 分 类 系统 。 网 络 类 别 确定 了 将 地 址 划分 为 网 
络 ID 和 主机 ID 的 方式 。 

> 地 址 解析 协议 (ARP) : 网 际 层 的 重要 协议 ， 用 于 获取 与 1P 地 
址 相对 应 的 物理 地 址 。ARP 缓 存 记录 着 最 近 解 析 的 物理 地 址 和 了 P 地 址 
对 。 

> BOOTP: 用 来 远程 启动 计算 机 或 其 他 网 络 设备 的 协议 。 

> 点 分 十 进 制 : 基数 为 10， 而 且 使 用 4 个 数字 来 表示 二 进 制 了 地 
址 的 形式 ， 这 4 个 数字 分 别 表示 二 进 制 地 址 的 4 个 八 位 组 ， 这 4 个 数字 之 
间 使 用 句点 分 开 (209.121.131.14) o 

> 主机 ID: IP 地 址 的 组 成 部 分 ， 代 表 网 络 上 的 一 个 节点 。 一 个 
网 络 内 每 个 节点 的 IP 地 址 都 应 该 具有 唯一 的 主机 ID。 

> Internet 控制 消息 协议 (ICMP) : 网 际 层 的 重要 协议 ， 路 由 
器 利用 它 发 送 消 息 来 告知 源 IP 关 于 路 由 的 问题 。ping 命 令 也 使 用 ICMP 
来 判断 网 络 上 其 他 主机 的 状态 。 

> 网 际 协议 (IP) : 网 际 层 的 重要 协议 ， 用 于 数据 报 的 寻 址 、 传 
递 和 路 由 。 

> SHB: 允许 数据 报 同 时 发 送 给 一 组 主机 的 技术 。 

> 网 络 ID: IP 地 址 的 组 成 部 分 ， 表 示 网 络 。 

> 八 位 组 : 一 个 8 位 的 二 进 制 数 值 。 

> 逆向 地 址 解析 协议 : TCP/IP 的 一 个 协议 ， 根 据 物 理 地 址 返回 
相应 的 IP 地 址 ， 一 般 被 远程 启动 的 无 盘 工作 站 使 用 。 

> FM: TCP/IP 地 址 空间 的 逻辑 划分 。 
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本 章 介 绍 如 下 内 容 : 

> 子 网 划分 ; 

> 子 网 掩 码 ; 

> CIDR 标 记 。 

子 网 划分 可 以 利用 IP 地 址 系统 把 物理 网 络 分 解 为 更 小 的 逻辑 实体 
一 一 子 网 。 随 着 CIDR 和 IPV6 的 出 现 ， 这 种 划分 网 络 的 方法 逐渐 失去 了 
市 场 ， 但 是 CIDR 和 IPv6 技 术 也 是 借用 了 基本 的 子 网 划分 原理 ， 而 且 如 
果 在 讲解 TCP/IP 时 不 提 及 子 网 划分 ， 则 这 样 的 讲解 也 称 不 上 是 完整 
的 。 本 章 将 介绍 子 网 划分 的 原因 与 优点 ， 以 及 生成 子 网 掩 码 的 步骤 与 

学 完 本 章 后 ， 你 可 以 : 

掌握 如 何 使 用 子 网 ; 

> 知道 子 网 的 优点 ; 

> 根据 业务 需要 产生 子 网 掩 码 ; 

掌握 超 网 和 CIDR 标 记 。 


5.1 了 于 网 


IP 地 址 必须 同时 表明 主机 以 及 主机 所 在 的 网 络 。 在 第 4 章 讲 到 ，IP 
地 址 分 类 系统 可 以 让 我 们 区 分 地 址 中 的 网 络 部 分 和 主机 部 分 。 但 是 ， 
这 种 地 址 分 类 系统 的 灵活 性 不 够 。 在 现实 世界 中 ， 网 络 具 有 各 种 规 
模 ， 很 多 网 络 被 划分 为 更 小 的 单元 ， 而 且 真 实 世界 的 网 络 并 不 是 运行 
于 这 种 分 类 级 别 上 的 ，ISP (Internet 服务 供应 商 ) 和 网 络 管理 员 需 
更 灵活 的 方式 对 网 络 进行 划分 ， 让 数据 报 能 够 到 达 面 向 较 小 地 址 空间 
的 路 由 器 。 

子 网 划分 可 以 将 网 络 分 解 为 被 称 为 子 网 的 较 小 单元 。 子 网 的 概念 
最 早 是 源 自 于 地 址 分 类 系统 的 ， 而 且 在 A 类 、B 类 和 C 类 地 址 中 能 够 得 
以 很 好 的 展现 。 然 而 ， 硬 件 厂商 和 Internet 社 区 建立 了 一 种 解析 地 址 的 
新 系统 ， 名 为 无 类 别 域 间 路 由 (CIDR) ， 它 不 需要 关心 地 址 类 别 。 本 
章 首先 介绍 地 址 分 类 系统 中 的 子 网 划分 ， 然 后 再 讨论 CIDR 标 记 。 
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第 4 章 介绍 的 地 址 分 类 系统 让 所 有 的 主机 能 够 识别 IP 地 址 中 的 网 络 
ID， 从 而 把 数据 报 发 送 给 正确 的 网 络 。 但 是 ， 根 据 A 类 、B 类 或 C 类 网 
络 ID 来 识别 网 段 具 有 一 些 局 限 性 ， 主 要 是 在 网 络 级 别 之 下 不 能 对 地 址 
空间 进行 任何 逻辑 细 分 。 

图 5.1 所 示 为 一 个 A 类 网 络 。 第 4 章 讲 到 ， 数 据 报 到 达 网 关 ， 然 后 传 
输 到 99.0.0.0 地 址 空间 。 但 如 果 要 考虑 它 在 这 个 地 址 空间 中 是 如 何 传递 
的 ， 这 个 图 示 就 会 变 得 非常 复杂 ， 因 为 A 类 网 络 能 够 容纳 超过 1600 万 
台 主 机 。 这 个 网 络 也 许 包 含 数 百 万 主机 ， 这 大 大 超过 了 在 一 个 子 网 上 
容纳 的 数量 。 


去 往 : 99.125.31.49 


网 络 : 99.0.0.0 


| 
= AD = 
— = 


最 多 1600 万 台 主 机 ! 


HF Jali 


图 5.1 将 数据 发 送 到 A 类 网 络 


为 了 在 大 型 网 络 里 实现 更 高 效 的 数据 传输 ， 地 址 空间 被 划分 为 较 
小 的 网 段 ( 见 图 5.2) 。 把 网 络 划 分 为 独立 的 物理 网 络 能 够 增加 网 络 的 
整体 性 能 ， 也 就 能 够 让 网 络 使 用 更 大 的 地 址 空间 。 在 这 种 情况 下 ， 在 
地 址 空间 里 划分 网 段 的 路 由 器 需要 适当 的 指示 来 决定 把 数据 传输 到 哪 
里 。 它 们 不 能 使 用 网 络 ID， 因 为 传输 到 这 个 网 络 的 数据 报 具 有 相同 的 
网 络 ID (99.0.0.0) 。 尽 管 可 以 利用 主机 ID 来 组 织 地 址 空间 ， 但 是 对 于 
能 够 容纳 超过 1600 万 台 主 机 的 网 络 来 说 ， 将 会 是 很 肪 烦 、 非 常 不 灵 
活 、 完 全 不 实用 的 。 唯 一 可 行 的 解决 办 法 是 在 网 络 标 ID 下 对 地 址 空 
间 进 行 某 种 细 分 ， 让 主机 和 路 由 器 能 够 根据 IP 地 址 判断 应 该 把 数据 发 
送 到 哪个 网 段 。 


子 网 划分 就 是 在 网 络 ID 之 下 提供 了 第 2 层 逻 辑 组 织 。 路 由 器 能 
够 把 数据 报 发 送 给 网 络 里 的 某 个 子 网 地 址 〈 一 般 对 应 于 一 个 网 段 ) ， 
而 当 数 据 报 到 达 子 网 之 后 ， 就 会 被 ARB 解 析 为 物理 地 址 。 

那么 子 网 地 址 从 何 而 来 呢 ，32 位 的 IP 地 址 不 是 被 划分 为 网 络 ID 和 
主机 ID 了 吗 ? TCP/IP 的 设计 者 借用 了 主机 ID 里 的 一 些 位 来 形成 子 网 
地 址 。 一 个 名 为 子 网 掩 码 的 参数 指明 了 地 址 中 多 少 位 用 于 子 网 ID、 保 
留 多 少 位 作为 实际 的 主机 ID。 


去 往 : 99.125.31.49 


网 络 : 99.0.0.0 


Y 
| 


去 往 子 网 起 


图 5.2 对 网 络 进行 组 织 ， 以 便 更 高 效 地 出 传输 


像 了 地 址 一 样 ， 子 网 掩 码 也 是 个 32 位 的 二 进 制 值 ， 它 的 形式 能 够 
说 明 与 之 相关 的 IP 地 址 的 子 网 ID。 图 5.3 所 示 为 一 个 IP 地 址 / 子 网 掩 码 
对 。 子 网 掩 码 里 的 每 一 位 代表 IP 地 址 中 的 一 个 位 ， 用 1 表示 IP 地 址 中 属 
于 网 络 ID 或 子 网 ID 的 位 ， 用 0 表示 IP 地 址 里 属于 主机 ID 的 位 。 我 们 可 
以 把 子 网 掩 码 看 作 阅读 IP 地 址 的 映射 。 图 5.4 所 示 为 子 网 网 络 和 非 子 网 
网 络 上 地 址 位 的 对 比 。 


, 主机 ID 位 
网 络 ID 和 ,一 
子 网 ID fix } 
— i 
IP HE: 11010000001000110110100100110011 


FMB:1111111111111111111111111000000000 


l 
子 网 掩 码 中 的 1 位 表示 
对 应 于 IP 地 址 中 的 网 络 
ID 和 子 网 ID 


图 5.3 IP 地 址 / 子 网 掩 码 对 


32 位 
| | 


非 子 网 网 络 : 网 络 ID 
(长 度 由 地 址 主机 ID 
类 型 确定 ) 


32 位 


子 网 网 络 : 网 络 ID 
(长 度 由 地 址 了 网 ID 主机 ID 
类 型 确定 ) 


A ID 与 子 网 ID 


的 总 长 度 由 子 网 掩 码 确定 


图 5.4 子 网 网 络 中 的 地 址 位 与 非 子 网 网 络 中 地 址 位 的 比较 


在 子 网 网 络 上 ， 路 由 器 和 主机 所 使 用 的 路 由 表 包 含 了 与 每 个 IP 地 
址 相关 的 子 网 掩 码 信息 (有 关 路 由 的 信息 ， 请 见 第 8 章 ) 。 从 图 5.5 可 
以 看 出 ， 数 据 报 根据 网 络 ID 被 路 由 到 目标 网 络 ， 而 这 个 网 络 ID 是 由 地 
址 类 别 决 定 的 。 当 数据 报到 达 目 标 网 络 之 后 ， 它 根据 子 网 ID 路 由 到 合 
适 的 网 段 。 在 到 达 这 个 网 段 之 后 ， 再 根据 主机 ID 传输 到 正确 的 计算 
机 。 


ID ID ID 


— 


. 网 络 ID 用 来 寻找 网 络 
2. 子 网 ID 用 来 寻找 网 络 
内 的 子 网 


3. 主 机 ID 用 来 寻找 子 
网 中 的 主机 


图 5.5 数据 报 在 子 网 网 络 中 的 传输 


网 络 管理 员 通 常 把 子 网 掩 码 作 为 TCP/IP 配置 的 参数 分 配给 每 个 主 
机 。 如 果 主 机 通过 DHCP ( 见 第 12 章 ) 获得 了 地 址 ，DHCP 服 务 器 会 同 
时 分 配 一 个 子 网 掩 码 。 

子 网 掩 码 必 须 仔 细 计 算 ， 并 且 要 反应 网 络 的 内 部 组 织 。 一 个 子 网 
内 的 所 有 主机 应 该 具有 相同 的 子 网 ID 和 子 网 掩 码 。 为 了 便于 人 们 使 
用 ， 子 网 掩 码 通常 以 点 分 十 进 制 的 形式 表示 ， 类 似 于 IP 地 址 。 

前 面 已 经 介绍 过 ， 子 网 掩 码 是 个 32 位 的 十 进 制 数值 。 利 用 第 4 章 
介绍 的 方法 ， 可 以 把 这 种 二 进 制 值 转化 为 点 分 十 进 制 形式 ， 而 且 与 IP 
地 址 相 比 ， 子 网 掩 码 的 转化 通常 会 更 简单 。 对 应 于 地 址 中 网 络 ID 和 子 
网 ID 的 掩 码 位 是 1， 代 表 IP 地 址 里 主机 ID 的 掩 码 位 是 9。 这 意味 着 1 都 在 
掩 码 的 左 侧 ， 而 0 都 在 右 侧 (除了 极 少 的 例外 ) 。 在 子 网 掩 码 中 ， 一 组 
8 位 1 对 应 于 十 进 制 的 255 (二 进 制 11111111) ，8 位 0 对 应 于 十 进 制 的 
0。 下 面 这 个 弟 见 的 子 网 掩 码 : 

11111111111111111111111100000000 

以 点 分 十 进 制 的 形式 表示 就 是 255.255.255.0。 类 似 地 ， 子 网 掩 
13: 

11111111111111110000000000000000 

以 点 分 十 进 制 的 形式 表示 就 是 255.255.0.0。 

可 以 看 出 ， 如 果子 网 掩 码 在 八 位 组 的 边界 对 地 址 进行 划分 ， 我 们 
能 够 很 容易 转化 为 句点 分 隔 的 十 进 制 形式 。 然 而 有 些 子 网 掩 码 并 不 是 
在 八 位 组 的 边界 对 地 址 进行 划分 ， 这 时 我 们 只 需 判 断 混 合 八 位 组 ( 包 
含 1 和 0 的 八 位 组 ) 所 对 应 的 十 进 制 数值 。 

把 二 进 制 子 网 掩 码 转化 为 点 分 十 进 制 形 式 的 步骤 如 下 所 示 。 

1. 在 子 网 掩 码 中 每 个 八 位 组 的 边界 插入 一 个 句点 ， 从 而 把 它 分 为 
4 个 八 位 组 : 


11111111.11111111.11110000.00000000 

2. 全 为 1 的 八 位 组 就 对 应 于 十 进 制 255， 全 为 0 的 对 应 于 0。 

3. 利用 第 4 章 介 绍 的 技术 把 这 些 八 位 组 转化 为 十 进 制 形 式 。 简 单 
地 说 ， 就 是 把 为 1 的 位 所 代表 的 值 相 加 〈 见 图 4.5) o 

4. 写 下 最 终 的 点 分 十 进 制 十 进 制 形式 ,: 

255.255.240.0 

在 大 多 数 情况 下 ， 对 计算 机 的 TCP/IP 进行 配置 时 ， 我 们 都 需要 输 
入 吕 分 十 进 制 形式 的 子 网 掩 码 。 


54 使 用 子 网 


子 网 掩 码 决定 了 网 络 ID 之 后 有 多 少 位 是 作为 子 网 PD 的 。 子 网 了 的 
长 度 不 是 固定 的 ， 取 决 于 子 网 掩 码 的 值 。 子 网 ID 越 长 ， 留 给 主机 ID 的 
位 数 越 少 。 换 句 话 说， 如 果 网 络 有 很 多 子 网 ， 每 个 子 网 上 的 主机 容量 
就 会 减少 ， 如 果子 网 数量 较 少 ， 而 且 子 网 ID 占据 的 位 数 也 较 少 ， 每 
个 子 网 的 主机 容量 就 会 增加 。 

ER: 类 和 掩 码 

地 址 类 别 也 决定 了 子 网 ID 占用 使 用 多 少 位 。 比 如 掩 码 

11111111111111111110000000000000 

指定 了 网 络 ID 与 子 网 ID 一 共 占 据 了 19 位 。 如 果 这 个 掩 码 用 于 一 个 
B 类 地 址 (网 络 ID 为 16 位 ) ， 那 么 子 网 ID 就 只 有 3 位 。 如 果 它 用 于 A 类 
地 址 (网 络 ID 为 8 位 ) ， 子 网 ID 就 有 11 位 。 

子 网 ID 的 分 配 〈 以 及 子 网 掩 码 的 分 配 ) 取决 于 网 络 的 配置 。 最 好 
的 方案 是 先 规划 网 络 ， 确 定 全 部 网 段 的 数量 与 位 置 ， 然 后 为 每 个 网 段 
分 配 一 个 子 网 ID。 为 了 给 每 个 子 网 分 配 唯 一 的 子 网 ID， 需 要 有 足够 的 
位 数 。 在 可 能 时 要 保留 一 些 空间 ， 以 便 在 网 络 扩展 时 容纳 更 多 的 子 
网 。 

下 面 是 一 个 简单 的 示例 。 这 里 是 一 个 B 类 网 络 ， 它 的 第 3 个 八 位 
组 (在 点 分 十 进 制 IP 地 址 中 是 第 3 个 数值 ) 被 用 作 子 网 ID。 在 图 5.6 
中 ， 网 络 129.100.0.0 被 划分 为 4 个 子 网 。 分 配 的 子 网 掩 码 是 
255.255.255.0， 表 示 网 络 ID 和 子 网 掩 码 占据 了 IP 地 址 中 的 3 个 八 位 组 。 
由 于 这 个 地 址 是 个 B 类 地 址 ， 地 址 中 的 前 两 个 八 位 组 是 网 络 ID。 因 此 
图 5.6 中 的 子 网 A 具有 如 下 参数 。 

网 络 ID: 129.100.0.0 

子 网 ID: 0.0.128.0 


全 0 或 全 1 的 主机 ID 是 不 能 分 配 的 ， 因 此 ， 图 5.6 所 示 的 配置 支持 最 
多 254 个 子 网 ， 每 个 子 网 最 多 容纳 254 台 主机 。 在 能 够 使 用 B 类 网 络 地 
tt (已 经 越 来 越 难 获得 了 ) 并 且 任 何 子 网 不 会 超过 254 台 主机 时 ， 这 是 
一 种 相当 明智 的 解决 方案 。 


L) 129.100.0.0 


子 网 C 


S 子 网 A a 
E | 129.100.128.0 F| 129.100.224.6 


= 
= 
— 
一 = 
-一 
Ei 于 网 B 
=£ | 129.100.192.0 


图 5.6 一 个 划分 了 子 网 的 B 类 网 络 


我 们 常常 不 能 把 一 整个 八 位 组 都 用 于 子 网 标识 ， 比 如 在 C 类 网 络 
上 ， 如 果 让 子 网 ID 占据 一 个 完整 的 八 位 组 ， 就 没有 任何 位 可 以 用 于 主 
机 ID 了 。 即 使 在 B 类 网 络 上 ， 在 子 网 容量 需要 超过 254 台 主 机 时 ， 我 
们 也 不 能 让 子 网 ID 占据 一 个 八 位 组 。 子 网 划分 并 不 要 求 把 子 网 ID 放 
在 八 位 组 的 边界 ， 这 种 概念 在 二 进 制 形式 下 是 很 容易 理解 的 ， 但 转化 
为 点 分 十 进 制 形式 之 后 可 能 会 让 人 觉得 有 些 糊涂 。 

注意 : 0 和 1 

尽管 不 建议 使 用 全 1 和 全 0 的 子 网 ， 但 是 有 些 路 由 器 广 商 不 愿意 放 
弃 这 个 宝贵 的 地 址 空间 ， 因 此 仍然 会 对 其 提供 支持 。 


例如 ， 我 们 要 把 一 个 C 类 网 络 划 分 为 5 个 较 小 的 子 网 。 这 类 地 址 给 
子 网 ID 和 主机 ID 只 剩 下 了 8 位 ， 我 们 使 用 下 面 这 样 的 子 网 掩 码 让 子 网 
ID 占据 3 位 : 

11111111111111111111111111100000 

剩 下 的 5 位 用 于 主机 ID。 子 网 ID 的 3 位 能 够 提供 8 种 不 同 值 。 前 面 
讲 到 ， 正 式 的 子 网 规则 排除 了 全 1 和 全 0 的 组 合 (虽然 很 多 路 由 器 支持 
分 配 全 1 或 全 0 的 子 网 ID) 。 无 论 何 种 情况 ， 这 种 配置 对 于 6 个 子 网 都 
够 用 了 。 主 机 ID 占据 的 5 位 能 够 提供 32 种 可 能 值 ， 排 除了 全 1 和 全 0 的 
组 合 之 后 ， 子 网 最 多 可 以 容纳 30 台 主机 。 

为 了 以 点 分 十 进 制 形式 表示 这 个 子 网 掩 码 ， 可 以 按照 前 面 介绍 的 
步骤 进行 。 

1. 插入 句点 来 标记 八 位 组 的 边界 : 

11111111.11111111.11111111.11100000 

2. 全 1 的 八 位 组 对 应 于 255， 把 混合 八 位 组 转化 为 十 进 制 |: 

128+64+32=224 

3. 这 个 子 网 掩 码 的 点 分 十 进 制 形式 是 255.255.255.224。 

假定 在 这 个 子 网 网 络 中 添加 主机 〈 见 图 5.7) ， 由 于 这 个 网 络 是 C 
类 网 络 ， 前 3 个 八 位 组 对 所 有 的 主机 而 言 都 是 相同 的 。 为 了 得 到 IP 地 址 
的 第 4 个 八 位 组 ， 只 需 在 相应 位 置 写 下 二 进 制 子 网 ID 和 主机 ID。 比 如 
在 图 5.7 中 ， 子 网 C 的 子 网 ID 是 011， 由 于 这 个 值 位 于 八 位 组 的 最 左 侧 ， 
因此 子 网 标识 实际 上 是 01100000， 相 应 的 十 进 制 数 值 是 96。 如 果 主 机 
Æ 17 (二进制 10001) ， 第 4 个 八 位 组 就 是 01110001， 相 应 的 十 进 制 数 
值 是 113， 那 么 这 台 主 机 的 IP 地 址 就 是 212.114.32.113。 

ER: 子 网 的 命 

在 这 个 例子 中 ， 许 多 管理 员 仍然 将 子 网 称 之 为 子 网 3 (二 进 制 为 
011) ， 并 且 在 这 二 进 制 与 十 进 制 的 转换 中 ， 他 们 仍然 说 子 网 3 是 由 数 
值 96 (01110000096) 来 表示 的 。 


网 络 : 212.114.32.0 


网 络 ID: 212.114.32.0 
f RÌ ID: 0.0.0.96 
主机 1D: 0.0.0.17 
IP 地 址 :212.114.32.113 


图 5.7 一 个 划分 了 子 网 的 C 类 网 络 


R 5.1 所 示 为 子 网 掩 码 二 进 制 形式 与 点 分 十 进 制 形式 的 对 应 关 
系 ， 其 中 包含 了 所 有 有 效 的 掩 码 。“ 描 述 ” 一 栏 说 明了 在 地 址 类 定义 的 
默认 掩 码 之 外 还 有 多 少 位 掩 码 ， 它 们 是 可 以 用 于 子 网 ID 的 。 例 如 ， 默 
认 的 A 类 掩 码 具 有 8 个 1 位 ， 而 显示 2 个 掩 码 位 的 行 表 示 在 子 网 掩 码 中 有 
8 加 2， 即 10 位 。 


25.1 子 网 掩 码 十 进 制 形 式 与 二 进 制 形式 的 对 应 关系 


描述 点 分 十 进 制 形式 二 进 制 形式 


A 类 地 址 


BRUGES 

1 个 子 网 位 
2 个 子 网 位 
3 个 子 网 位 


255.0.0.0 11111111 00000000 00000000 00000000 
255.128.0.0 11111111 10000000 00000000 00000000 
255.192.0.0 11111111 11000000 00000000 00000000 
255.224.0.0 11111111 11100000 00000000 00000000 


描述 

和 A 类 地 址 
4 个子 网 位 
5 个 子 网 位 
6 个 子 网 位 
7 个 子 网 位 
8 个子 网 位 
9 个 子 网 位 
10 个 子 网 位 
11 个 子 网 位 
12 个 子 网 位 
13 个 子 网 位 
14 个 子 网 位 
15 个 子 网 位 
16 个 子 网 位 
17 个 子 网 位 
18 个 子 网 位 
19 个 子 网 位 
20 个 子 网 位 
21 个 子 网 位 
22 个 子 网 位 
B 类 地 址 
默认 掩 码 

1 个 子 网 位 
2 个 子 网 位 
3 个子 网 位 
4 个 子 网 位 
5 个 子 网 位 
6 个子 网 位 
7 个 子 网 位 
8 个 子 网 位 
9 个 子 网 位 
10 个 子 网 位 
11 个 子 网 位 
12 个 子 网 位 
13 个 子 网 位 
14 个 子 网 位 


点 分 十 进 制 形式 


255,240,0.0 
255.248.0.0 
255.252.0.0 


255.255.128.0 


255.255.224.0 
255.255.240.0 
255,255.248.0 
255.255.252.0 
255.255.254.0 


255.255.255.192 
255.255.255.224 
255.255.255.240 
255.255.255.248 
255.255.255.252 


255.255.0.0 
255.255.128.0 
255.255.192.0 
255,255,224.0 
255.255.240.0 
255.255.248.0 
255.255.252.0 
255.255,254.0 
255,255.255.0 
255.255.255.128 
255.255.255.192 
255.255.255.224 
255.255.255.240 
255,255,255,248 
255.255.255:252 


二 进 制 形式 


11111111 11110000 00000000 00000000 
11111111 11111000 00000000 00000000 
11111111 11111100 00000000 00000000 
11111111 11111110 00000000 00000000 
11111111 11111111 00000000 00000000 
11111111 11111111 10000000 00000000 
11111011 11111111 11000000 00000000 
11111111 11111111 11100000 00000000 
11111111 11111111 11110000 00000000 
11111111 11111111 11111000 00000000 
HT TET 11111100 00000000 
11111111 11111111 11111110 00000000 
11111111 11111114 11111111 00000000 
HITE TULLELRY MILLEL 10000000 
11414 HA ALAN LAIA 11111131 11000000 
11911111 10111142 21111111 11100000 
11111111 11111111 11111111 11110000 
ARALIDA DLFILAGA 14141111 11111000 
11111100 PLATA DA 14111111 11111100 


11111111 11111111 00000000 00000000 
11111111 11111111 10000000 00000000 
11111111 11111111 11000000 00000000 
11111111 11111111 11100000 00000000 
TNH 11111111 11110000 00000000 
IN 11111000 00000000 
11111111 11111111 11111100 00000000 
11111111 11111111 11111110 00000000 
11111111 11111141 11111111 00000000 
TITLED ALAN LEED 11111111 10000000 
AAILUUII HITA TALA 11111111 11000000 
11111110 11111112 11111111 11100000 
10111411 DILATADA 111 LILIA 11110000 
IN AAA IA 11111000 
11111111 TEED DEAD A1IAIIIA 11111100 


描述 点 分 十 进 制 形 式 二 进 制 形式 

C 类 地 址 

BRUT he HER 255.255.255.0 Tin nmr 11111111 00000000 
1 个 子 网 位 255.255.255.128 11111111 11111111 11111111 10000000 
2 个 子 网 位 255.255.255.192 11111111 11111111 11111111 11000000 
3 个 子 网 位 255.255.255.224 11111111 11111111 11111111 11100000 
4 个 子 网 位 255.255.255.240 | 11111111 1111111 11111111 11110000 
5 个 子 网 位 255.255.255.248 11111111 11111111 11111111 11111000 
6 个 子 网 位 255.255.255.252 11111111 11111111 11111111 11111100 


ER: 不 实用 的 掩 码 

表 5.1 中 的 一 些 掩 码 只 是 用 于 解释 其 用 途 ， 没 有 实用 价值 。 比 如 C 
类 网 络 如 果 使 用 了 6 位 的 子 网 ID ， 就 只 剩 下 2 位 用 于 主机 ID 了 。 而 在 这 
2 位 中 ， 全 1 地 址 (11) 保留 用 于 广播 ， 全 0 地 址 (00) 通常 是 不 使 用 
的 。 因 此 这 个 子 网 只 能 容纳 两 台 主机 。 


9.0 Ia% jE CIDR 


在 2011 年 ?月 ，ICANN 宣 布 ，IPv4 地 址 已 经 耗 尽 。 在 第 4 章 (以 及 
第 13 章 ) 讲 到 ， 应 用 对 IP 地 址 耗 尽 问题 的 长 期 解决 方案 是 使 用 IPv6 地 
址 系统 ， 它 可 以 提供 大 量 的 地 址 。 然 而 ，ICANN 分 配 光 所 有 的 IPv4 地 
址 并 不 意味 着 人 们 停止 使 用 其 地 址 。ISP 一 直 在 参与 IPv4 地 址 的 买卖 与 
分 配 。IP 地 址 的 高 额 交 易 ， 对 路 由 表 中 地 址 条 目的 扩散 进行 限制 的 需 
求 ， 催 生 了 另外 一 种 路 由 表示 形式 ， 这 种 形式 提供 了 更 为 一 致 的 方法 
来 聚合 和 划分 IP 地 址 空间 。 

A 类 地 址 已 经 耗 尽 ，B 类 地 址 也 很 快 用 完了 ，C 类 地 址 还 有 剩余 ， 
但 它 的 地 址 空间 比较 小 (最 多 254 台 主机 ) ， 这 对 于 ISP 是 个 限制 。 当 
然 ， 我 们 可 以 向 需要 包含 超过 254 台 主机 的 网 络 所 有 者 分 配 多 个 C 类 地 
址 ， 但 是 把 属于 同一 个 网 络 的 多 个 C 类 地 址 分 别管 理 只 会 让 路 由 表 产 
生 不 必要 的 混乱 。 

本 章 前 面 提 到 ， 地 址 分 类 系统 相对 而 言 不 够 灵活 ， 需 要 使 用 子 网 
划分 系统 来 更 细致 地 控制 地 址 空间 。 而 无 类 别 域 间 路 由 (CIDR) 在 路 
由 表 中 定义 地 址 块 时 更 容易 修改 ， 更 具有 灵活 性 。 这 种 技术 不 依赖 于 
预定 义 的 8 位 、16 位 或 24 位 网 络 ID， 而 是 使 用 一 个 名 为 CIDR 前 级 的 值 
指定 地 址 中 作为 网 络 ID 的 位 数 。 这 个 前 级 有 时 也 被 称 为 变 长 子 网 掩 码 

(VLSM) 。 这 个 前 缀 可 以 位 于 地 址 空间 的 任何 位 置 ， 让 管理 者 能 够 
以 更 灵活 的 方式 定义 子 网 ， 以 简便 的 形式 指定 地 址 中 网 络 ID 部 分 与 主 
机 ID 部 分 。CIDR 标 记 使 用 一 个 斜 线 (/) 分 隔 符 ， 后 面 跟 一 个 十 进 制 
数值 来 表示 地 址 中 网 络 部 分 所 占 的 位 数 。 例 如 ， 在 CIDR 地 址 
205.123.196.183/25 中 ，/25 表 示 地 址 中 25 位 用 于 网 络 ID， 相 应 的 子 网 掩 
码 就 是 255.255.255.128。 

CIDR 前 级 就 是 表明 了 IP 地 址 中 前 面 的 多 少 位 对 于 网 络 里 的 全 部 
主机 来 说 是 一 样 的 。CIDR 一 个 强大 的 特性 是 是 不 仅 能 够 对 网 络 划 分 


子 网 ， 还 让 ISP 或 管理 员 能 够 把 多 个 连续 C 类 网 络 聚合 或 组 合 为 一 个 
实体 。 这 种 特性 极 大 地 简化 了 网 际 路 由 表 ， 从 而 延长 了 IPv4 的 生命 。 
出 租 一 系列 连续 C 类 网 络 的 ISP 只 需要 一 个 条 目 就 可 以 定义 全 部 网 络 。 
在 这 种 情况 下 ，CIDR 前 缀 发 挥 了 所 谓 超 网 掩 码 的 作用 。 例 如 ， 一 个 
ISP 可 以 分 配 204.21.128.0 (11001100000101 011000000000000000) — 
204.21.255.255 (11001100000101011111111111111111) 的 全 部 C 类 地 
址 。 

这 些 网 络 地 址 的 前 17 位 是 一 样 的 ， 因 此 ， 超 网 掩 码 是 
11111111111111111000000000000000， 相 应 的 点 分 十 进 制 形式 是 
255.255.128.0。 

超 网 掩 码 中 0 对 应 的 位 确定 了 地 址 块 的 范围 ， 因 此 ， 支 持 CIDR 的 
路 由 表 可 以 只 使 用 一 个 CIDR 条 目 204.21.128.0/17 来 引用 这 段 地 址 的 全 
部 范围 。 该 条 目 适 用 于 与 地 址 204.21.128.0 的 前 17 位 匹配 的 所 有 地 址 。 


5.6 小 结 


本 章 讲述 了 如 何 使 用 子 网 划分 技术 来 划分 TCP/IP 地 址 空间 。 子 网 
划分 技术 为 IP 地 址 体系 添加 了 一 个 中 间 层 ， 提 供 了 在 网 络 ID 之 下 对 地 
址 空间 中 的 IP 地 址 进行 分 组 的 一 种 方式 。 对 于 使 用 路 由 器 把 网 络 分 隔 
为 多 个 物理 网 段 的 网 络 来 说 ， 子 网 划分 是 一 个 常见 的 特性 。 

无 类 别 域 件 路 由 (CIDR) 是 一 种 比较 新 的 技术 ， 不 需要 使 用 地 址 
分 类 系统 就 可 以 对 地 址 空间 进行 灵活 的 划分 。 
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问 : B 类 网 络 在 使 用 255.255.0.0 作 为 掩 码 时 ， 子 网 ID 占据 了 多 少 
位 ? 

E: 0 位 〈 不 存在 子 网 ID 字段 ) 。 掩 码 255.255.0.0 是 B 类 网 络 的 默 
认 设 置 ， 全 部 16 个 掩 码 位 都 是 用 于 网 络 ID， 没 有 用 于 子 网 划分 的 。 

al: 一 个 网 络 管理 员 计 算出 他 需要 21 位 掩 码 ， 他 应 该 使 用 什么 子 
网 掩 码 ? 

答 : 21 位 掩 码 : 11111111111111111111100000000000， 也 就 是 两 个 
全 1 八 位 组 再 加 5 位 。 全 1 的 八 位 组 对 应 于 255， 前 5 位 为 1 的 八 位 组 等 于 
128+64+32+16+8=248， 所 以 这 个 掩 码 是 255.255.248.0。 

ll: 公司 有 一 个 C 类 地 址 ， 员 工分 布 于 10 个 位 置 ， 每 个 位 置 的 员 
工 不 超过 12 个 。 使 用 什么 子 网 掩 码 能 够 满足 为 每 个 用 户 提供 一 台电 脑 
的 需要 ? 

答 : 子 网 掩 码 是 255.255.255.240， 主 机 ID 使 用 4 位 ， 足 够 为 每 个 用 
户 提供 不 同 的 地 址 。 

问 : Billy 想 在 一 个 A 类 网 络 上 使 用 占据 3 位 的 子 网 ID， 相 应 的 子 网 
掩 码 是 什么 ? 

E: A 类 网 络 意味 着 IP 地 址 中 第 一 个 八 位 组 是 属于 网 络 ID 的 ， 它 
的 掩 码 就 是 255。 第 二 个 八 位 组 里 的 3 位 子 网 ID 对 应 于 
128+64+32=224， 所 以 子 网 掩 码 是 255.224.0.0。 

问 : 中 CIDR 范 围 212.100.192.0/20 中 ， 分 配 了 什么 IP 地 址 ? 

E: 超 网 参数 /20 表 示 了 P 地 址 的 前 20 位 是 不 变 的 ， 其 余部 分 是 可 变 
的 。 这 个 初始 地 址 的 二 进 制 形式 是 : 

11010100.01100100.11000000.00000000 

地 址 的 前 20 位 必须 与 这 个 初始 地 址 相同 ， 其 他 部 分 只 可 以 变化 。 
下 面 是 可 变 部 分 的 另 一 个 极限 值 (全 1 替换 全 0) : 


11010100.01100100.11001111.11111111 
所 以 地 址 范围 是 212.100.192.0~212.100.207.255。 


5.8 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


5.8.1 问题 


. 子 网 ID 的 位 来 自 哪里 ? 

.为 什么 子 网 划分 技术 如 今 没 有 过 去 那么 重要 ? 

. 无 类 别 域 间 路 由 中 的 “无 类 别 * 指 的 是 什么 ? 

.在 /26 的 网 络 中 ， 可 以 有 多 少 台 主机 ? 

. 将 几 个 较 小 的 网 络 合并 为 一 个 较 大 网 络 范围 的 技术 是 什么 ? 
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5.8.2 练习 


1. 如 果 把 网 络 地 址 180.4.0.0~180.7.255.255 合并 为 一 个 网 络 地 
址 ， 请 计算 CIDR 网 络 地 址 。 

2. 如 果子 网 192.100.50.192 的 子 网 掩 码 为 255.255.255.224， 则 该 子 
网 可 以 有 多 少 台 主机 ? 

3. 在 练习 2 中 ， 在 子 网 掩 码 为 255.255.255.224， 则 可 以 产生 多 少 
个 子 网 ? 

4. 在 网 络 195.50.100.0/23 中 ， 确 定 表示 主机 的 最 小 IP 地 址 。 

5. 在 练习 4 中 ， 确 定 表 示 主 机 的 最 大 IP 地 址 。 
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复习 下 列 关 键 术语 : 

> CIDR: 无 类 别 域 间 路 由 。 这 种 技术 可 以 让 一 个 网 络 ID 块 被 当 
{F—T EA. 

> FM: 对 TCP/P 网 络 ID 定义 的 地 址 空间 进行 逻辑 划分 。 

> 子 网 掩 码 : 一 个 32 位 的 二 进 制 值 ， 用 于 指定 IP 地 址 中 的 一 部 分 
作为 子 网 ID。 

> BMS: 一 个 32 位 的 二 进 制 值 ， 能 够 把 多 个 连续 网 络 ID 聚 合 
为 一 个 整体 。 


第 6 章 传输 层 


本 章 介绍 如 下 内 容 : 

面向 连接 的 协议 和 无 连接 的 协议 ; 

> 端口 和 套 接 字 ; 

> TCP; 

> UDP. 

传输 层 为 网 络 应 用 程序 提供 了 一 个 接口 ， 并 且 能 够 对 网 络 传输 提 
供 了 可 选 的 错误 检测 、 流 量 控制 和 验证 功能 。 本 章 将 介绍 传输 层 的 一 
些 重要 概念 以 及 TCP 和 UDP 协议 。 

学 完 本 章 后 ， 你 可 以 : 

> 掌握 传输 层 的 基本 功能 ; 

> 知道 面向 连接 的 协议 与 无 连接 的 协议 之 间 的 区 别 ; 

> 知道 传输 层 协议 如 何 通 过 端口 和 套 接 字 为 网 络 应 用 程序 提供 接 
as 

> 了 解 TCP 与 UDP 之 间 的 区 别 |; 

> 识别 构成 TCP 报 头 的 字段 ; 

> 知道 TCP 如 何 打开 和 关闭 一 个 连接 ，; 

> 知道 TCP 如 何 顺 序 发 送 和 确认 数据 传输 ; 

> 识别 构成 UDP 报 头 的 4 个 字段 。 


6.1 云 


在 第 4 章 和 第 5 章 已 经 提 到 ，TCP/IP 传 输 层 包含 很 多 有 用 的 协议 ， 
能 够 提供 数据 在 网 络 传输 所 需 的 必要 寻 址 信息 。 但 寻 址 和 路 由 只 是 传 
输 层 的 部 分 功能 。TCP/IP 的 开发 者 知道 他 们 需要 在 网 际 层 上 添加 另外 
一 层 ， 并 通过 这 一 层 提 供 的 额外 必要 特性 来 使 用 IP。 传 输 层 协 议 需 要 
提供 以 下 功能 。 

> 为 网 络 应 用 程序 提供 接口 : 也 就 是 为 应 用 程序 提供 访问 网 络 的 
途径 。 设 计 者 希望 不 仅 能 够 向 目的 计算 机 传递 数据 ， 还 能 够 向 目的 计 
算 机 上 的 特定 程序 传递 数据 。 

> 多 路 复 用 /多 路 分 解 机 制 : 这 里 的 多 路 复 用 表示 从 不 同 的 应 用 
程序 和 计算 机 接收 数据 ， 再 把 数据 传递 到 目的 计算 机 上 的 接收 程序 。 
换 句 话说 ， 传 输 层 必须 能 够 同时 支持 多 个 网 络 程序 和 管理 传递 给 网 际 
层 的 数据 流 。 在 接收 端 ， 传 输 层 必须 能 够 从 网 际 层 接收 数据 ， 把 它 转 
到 多 个 程序 ， 这 种 功能 被 称 为 多 路 分 解 ， 它 可 以 让 一 台 计 算 机 同时 
支持 多 个 网 络 程序 ， 比 如 一 个 Web 浏 览 器 、 一 个 E-mail 客户 端 和 一 个 文 
件 共享 应 用 程序 。 多 路 复 用 /多 路 分 解 的 另 一 个 作用 是 可 以 让 一 个 应 用 
程序 同时 保持 与 多 台 计 算 机 的 连接 。 

> 错误 检测 、 流 量 控制 和 验证 : 协议 系统 需要 一 种 全 面 机 制 来 确 
保 发 送 端 与 接收 端 之 间 的 数据 传输 。 

最 后 一 项 (错误 检测 、 流 量 控制 和 验证 ) 是 变化 最 多 的 。 质 量 保 
证 通常 会 在 收益 与 代价 之 间 寻 找平 衡 。 精 细 的 质量 保证 系统 会 提高 传 
输 可 靠 性 ， 但 需要 以 增加 网 络 流量 和 处 理 时 间 为 代价 。 对 于 大 多 数 应 
用 程序 来 说 ， 这 种 额外 的 保证 并 不 值得 。 因 此 ， 传 输 层 提供 了 两 种 到 
达 目 标 网 络 的 方式 ， 它 们 都 具有 支持 应 用 程序 所 必需 的 接口 和 多 路 复 
用 /多 路 分 解 功能 ， 但 在 质量 保证 方面 所 采用 的 方法 有 很 大 不 同 ， 如 下 
所 示 。 


> 传输 控制 协议 (TCP) : TCP 提供 了 完善 的 错误 控制 和 流量 控 
制 ， 能 够 确保 数据 正确 传输 ， 它 是 一 个 面向 连接 的 协议 。 

> 用 户 数据 报 协议 a : UDP 只 提供 了 非常 基本 的 错误 检 
测 ， 用 于 不 需要 TCP 精 细 控 制 功能 的 场合 ， 它 是 一 个 无 连接 的 协议 。 

本 章 后 面 将 会 更 详细 地 介绍 面向 连接 和 无 连接 的 协议 、TCP 和 
UDP。 

注意 : OSI 中 的 传输 层 

TCP/IP 传 输 层 对 应 于 OSI 模型 的 传输 层 。OSI 模 型 的 传输 层 也 被 称 
为 第 4 层 。 


6.2 za 


在 更 详细 地 讨论 TCP 和 UDP 之 前 ， 需 要 先 介绍 一 些 重要 概念 : 
面向 连接 的 协议 和 无 连接 的 协议 ; 

> 端口 和 套 接 字 

> 多 路 复 用 /多 路 分 解 。 

这 些 重要 概念 是 理解 传输 层 设计 的 基础 ， 下 面 来 分 别 介绍 。 


为 了 针对 不 同情 况 提 供 不 同 程度 的 质量 保证 ， 传 输 层 提 供 了 两 种 
不 同 的 协议 原型 。 

> 面向 连接 的 协议 : 会 在 通信 计算 机 之 间 建 立 并 维护 一 个 连接 ， 
并 且 在 通信 过 程 中 监视 连接 的 状态 。 换 句 话 说， 通过 网 络 传输 的 每 个 
数据 包 都 会 有 一 个 确认 ， 发 送 端 计算 机 会 记录 状态 信息 来 确保 每 个 数 
据 包 都 被 正确 无 误 地 接收 了 ， 并 且 在 需要 时 会 重 发 数据 。 当 数据 传输 
结束 之 后 ， 发 送 端 和 接收 端 计算 机 会 以 适当 万 式 关 闭 连接 。 

> 无 连接 的 协议 : 以 单 向 方式 向 目的 发 送 数据 报 ， 不 承担 通知 目 
的 计算 机 关于 数据 发 送 的 职责 。 目 的 计算 机 接收 到 数据 后 也 不 需要 向 
源 计 算 机 返回 状态 信息 。 

图 6.1 以 两 个 人 通话 的 方式 展示 了 面向 连接 的 通信 。 当 然 ， 其 中 
并 没有 体现 出 数字 通信 实际 的 复杂 性 ， 只 是 简单 地 解释 了 面向 连接 协 
议 的 概念 。 


Hey, Bill. Are you listening? 
| have to tell you something. 


Yeah, I'm listening, Fred. 


Yeah, | got that part. 


That's it, Bill. That's all 
| have to say. 


图 6.1 面向 连接 的 通信 


图 6.2 展 示 了 以 无 连接 协议 传输 相同 数据 的 情形 。 


Hey, Bill. Able was | 
ere | saw Elba. 


图 6.2 无 连接 的 通信 


6.2.2 端口 和 套 接 字 


传输 层 充 当 了 网 络 应 用 程序 与 网 络 之 间 的 接口 ， 并 且 能 够 把 网 络 
数据 传递 给 特定 的 应 用 程序 。 在 TCP/IP 系 统 中 ， 应 用 程序 可 以 使 用 端 
口号 通过 TCP 或 UDP 指 定数 据 目的 地 。 端 口 是 一 个 预定 义 的 内 部 地 
址 ， 充 当 从 应 用 程序 到 传输 层 或 是 从 传输 层 到 应 用 程序 之 间 的 通路 

( 见 图 6.3) 。 例 如 ， 客 户 端 计算 机 通常 利用 TCP 端 口 21 来 访问 服务 器 
上 的 FTP 程 序 。 


图 6.3 端口 地 址 将 数据 传输 到 特定 的 应 用 程序 


进一步 观察 传输 层 这 种 与 应 用 程序 相关 的 寻 址 体制 ， 就 会 发 现 
TCP 和 UDP 数据 实际 是 被 发 送 到 一 个 套 接 字 上 的 。 套 接 字 是 一 个 由 IP 
地 址 和 端口 号 组 成 的 地 址 。 例 如 ， 套 接 字 地 址 111.121.131.141.21 指 向 
IP 地 址 为 111.121.131.141 的 计算 机 的 端口 21。 

图 6.4 所 示 为 使 用 TCP 的 计算 机 在 建立 连接 时 如 何 交 换 套 接 字 信 
Bo 


计算 机 A 


请 求 连接 到 目的 端口 23 


目的 端口 = 2500 
源 端 口 -23 


图 6.4 交换 源 和 目的 套 接 字 信息 


下 面 的 例子 展示 了 一 台 计 算 机 如 何 通 过 套 接 字 访问 目的 计算 机 上 
的 一 个 应 用 程序 。 

1. 计算 机 A 通过 一 个 熟知 的 端口 向 计算 机 B 上 的 一 个 应 用 程序 发 
起 一 个 连接 。 熟 知 端口 是 由 互联 网 数字 分 配 机 构 (IANA) 分 配给 特定 
程序 的 端口 。 表 6.1 和 表 6.2 列 出 了 一 些 熟知 的 TCP 和 UDP 端口 。 熟 知 的 
端口 与 1P 地 址 组 合 之 后 就 构成 了 计算 机 A 的 目的 套 接 字 。 连 接 请 求 包 
含 着 一 个 数据 字段 ， 告 诉 计算 机 B 使 用 什么 套 接 字 向 计算 机 A 返回 信 
息 ， 这 也 就 是 计算 机 A 的 源 套 接 字 地 址 。 

2. 计算 机 B 通 过 熟知 端口 接收 到 来 自 计 算 机 A 的 请 求 ， 向 作为 计 
算 机 A 源 地 址 的 套 接 字 发 送 一 个 响应 。 这 个 套 接 字 就 成 为 计算 机 B 上 的 
应 用 程序 向 计算 机 A 上 的 应 用 程序 发 送 消息 的 目的 地 址 。 

本 章 后 面 将 会 讲解 如 何 发 起 一 个 TCP 连 接 。 


表 6.1 熟知 的 TCP 端 口 


服务 
tepmux 
compressnet 
compressnet 
echo 

discard 


systat 


TCP 端口 号 简要 描述 

TCP 端口 服务 多 路 复 用 器 
管理 工具 

压缩 工具 

回 显 

抛弃 或 空 

用 户 


服务 简要 描述 

netstat 网 络 状 态 

gotd 每 日 引用 

chargen aa | 字符 生成 器 
Boden 文件 传输 协议 数据 
fip 文件 传输 协议 控制 
ssh 安全 Shell 

telnet 终端 网 络 连接 
siiip 简单 邮件 传输 协议 
new-fe NSW 用 户 系统 
time 时 间 服 务 程序 
name 主机 名 称 服务 程序 
domain 域名 服务 程序 (DNS) 
gopher Gopher 服务 
finger Finger 

http ls | WWW 服务 

link TTY 链接 

supdup SUPDUP 协议 
pop2 Fi 邮局 协议 2 

pop3 nm | 邮局 协议 3 

auth 身份 验证 服务 
ucpat UUCP 路 径 服 务 
nntp 09 | USENET 网 络 新 闻 传输 协议 
nbsession 139 NetBIOS 会 话 服务 


表 6.2 熟知 的 UDP 端口 


服务 
echo 
discard 
systat 
daytime 
qotd 
chargen 
time 
domain 
bootps 
bootpe 


tftp 


UDP 端口 号 


tn | v 


a Sl = =) 
siwin ~ | us 


描述 

回 最 

抛弃 或 空 

用 户 

时 间 

每 日 引用 

字符 生成 器 

时 间 服 务 程序 

域名 服务 程序 (DNS) 

引导 程序 协议 服务 /DHCP 
引导 程序 协议 客户 端 /DHCP 
简单 文件 传输 协议 


123 


网 络 时 间 服 务 


nbname 137 NetBIOS 名 称 


snmp-trap 162 简单 网 络 管理 协议 trap 


6.2.3 / 


套 接 字 寻 址 系统 使 得 TCP 和 UDP 能 够 执行 传输 层 另 一 个 重要 任 
务 : 多 路 复 用 和 多 路 分 解 。 多 路 复 用 是 指 把 多 个 来 源 的 数据 导向 一 个 
输出 ， 而 多 路 分 解 是 把 从 一 个 来 源 接收 的 数据 发 送 到 多 个 输出 〈 见 图 
6.5) 。 


多 路 复 用 多 路 分 解 
图 6.5 多 路 复 用 与 多 路 分 解 


多 路 传输 /多 路 分 解 让 TCP/IP 协 议 栈 较 低 层 的 协议 不 必 关 心 哪个 程 
序 在 传输 数据 。 与 应 用 程序 相关 的 操作 都 由 传输 层 完成 了 ， 数 据 通过 
一 个 与 应 用 程序 无 关 的 管道 在 传输 层 与 网 际 层 之 间 传 递 。 

多 路 复 用 和 多 路 分 解 的 关键 就 在 于 套 接 字 地 址 。 套 接 字 地 址 包含 
了 IP 地 址 与 端口 号 ， 为 特定 计算 机 上 的 特定 应 用 程序 提供 了 一 个 唯一 
的 标识 。 参 见 图 6.6 中 的 FIP 服务器。 所 有 客户 端 计算 机 使 用 熟知 的 
TCP 端 口 21 连 接 到 FTP 服 务 器 ， 但 针对 每 台 个 人 计算 机 的 目的 套 接 字 
是 不 同 的 。 类 似 地 ， 运 行 于 这 人 台 FTP 服 务 器 上 全 部 网 络 应 用 程序 都 使 
用 服务 器 的 IP 地 址 ， 但 只 有 FTP 服 务 程序 使 用 由 IP 地 址 和 TCP 端 口号 21 
组 成 的 套 接 字 地 址 。 


网 际 层 


IP 地 址 
网 络 111.121.131.142 
访问 层 
I 


连接 #1 
源 111.121.131.135:20:00 


目的 111.121.131.142: 21 


连接 #3 
源 111.121.131.142:2500 


目的 111.121.131.147:23 


连接 #2 fe #4 
源 111.121.131.136:2000 源 111.121.131.142:2600 
HAY 111.121.131.142:21 目的 111.121.131.145:23 


图 6.6 套 接 字 地 址 唯一 地 识别 特定 服务 器 上 的 应 用 程序 


6.3 TCPHIUDP 


本 章 前 面 提 到 ，TCP 是 个 面向 连接 的 协议 ， 提 供 了 全 面 的 错误 控 
制 和 流量 控制 。UDP 是 个 无 连接 协议 ， 错 误 控 制 也 简单 得 多 。 可 以 这 
样 说 ，TCP 是 为 了 可 靠 性 ， 而 UDP 是 为 了 速度 。 必 须要 支持 交互 会 
话 的 应 用 程序 ， 比 如 Telnet 和 FTP， 就 会 使 用 TCP。 而 自己 实现 错误 检 
测 或 不 需要 过 多 错误 控制 的 应 用 程序 会 倾向 于 使 用 UDP。 

软件 开发 人 员 在 设计 网 络 应 用 程序 时 可 以 选择 使 用 TCP 或 UDP 
作为 传输 协议 。UDP 的 控制 机 制 虽然 比较 简单 ， 但 这 并 不 是 它 的 缺 
点 。 首 先 ， 较 简单 的 质量 控制 并 不 一 定 意味 着 低 质量 。 对 于 大 多 数 应 
用 程序 来 说 ，TCP 提供 的 错误 检测 与 控制 是 完全 没有 必要 的 。 在 一 些 
需要 错误 控制 和 流量 控制 的 情况 下 ， 有 些 开 发 人 员 更 愿意 在 应 用 程序 
本 身 内 提供 这 些 控制 功能 ， 从 而 可 以 根据 实际 需要 进行 控制 ， 并 使 用 
较 简 单 的 UDP 进行 网 络 访问 。 例 如 ， 应 用 层 的 远程 过 程 调用 (RPC) 
协议 能 够 支持 复杂 的 应 用 程序 ， 但 RPC 开 发 人 员 有 时 倾向 于 在 传输 层 
使 用 UDP， 并 且 利 用 应 用 程序 提供 错误 控制 和 流量 控制 ， 而 不 是 使 用 
速度 较 慢 的 TCP 连 接 。 


前 面 已 经 介绍 过 TCP 使 用 面向 连接 的 方法 进行 通信 ， 它 还 包括 以 
下 重要 特性 。 

> 面向 流 的 处 理 : TCP 以 流 的 方式 处 理 数据 。 换 名 话说 ，TCP 可 
以 一 个 字 节 一 个 字 节 地 接收 数据 ， 而 不 是 一 次 接收 一 个 预定 义 格 式 的 
数据 块 。TCP 把 接收 到 的 数据 组 成 长 度 不 定 的 段 ， 再 传递 到 网 际 层 。 

> 重新 排序 : 如 果 数 据 以 错误 的 顺序 到 达 目 的 ，TCP 模 块 能 够 对 
数据 重新 排序 来 恢复 原始 顺序 。 

> 流量 控制 : TCP 的 流量 控制 特性 能 够 确保 数据 传输 不 会 超过 目 
的 计算 机 接收 数据 的 能 力 。 由 于 现实 世界 里 会 有 各 种 不 同 的 应 用 环 
境 ， 处 理 器 速度 和 缓存 区 大 小 的 差别 也 可 能 很 大 ， 所 以 这 种 流 控制 能 
力 是 非常 重要 的 。 

> 优先 级 与 安全 : 国防 部 对 TCP 的 规范 要 求 可 以 为 TCP 连 接 设 置 
可 选 的 安全 级 别 和 优先 级 ， 但 很 多 TCP 实 现 并 没有 提供 这 些 安全 和 优 
先 级 特性 。 

> 适当 的 关闭 : TCP 像 重视 建立 连接 一 样 重视 关闭 连接 的 工作 ， 
以 确保 在 连接 被 关闭 之 前 ， 所 有 的 数据 段 都 被 发 送 和 接收 了 。 

仔细 观察 TCP， 就 会 发 现 它 是 一 个 由 通告 和 确认 组 成 的 复杂 系 
统 ， 用 以 支持 TCP 面 向 连接 的 功能 。 下 面 的 小 节 将 详细 介绍 TCP 数 据 
格式 、TCP 数 据 传 输 和 TCP 连 接 。 其 中 涉及 的 技术 内 容 会 展示 TCP 的 复 
杂 性 ， 也 会 展示 出 协议 不 仅仅 是 数据 格式 ， 它 还 是 一 个 由 交互 处 理 和 
过 程 组 成 的 完整 系统 ， 用 以 完成 特定 的 任务 。 

在 第 2 章 讲 到 ， 像 TCP/IP 这 样 的 分 层 协 议 系 统 在 发 送 端 计算 机 上 的 
某 一 层 与 接收 端 计算 机 上 相应 的 层 之 间 进 行 信息 交换 ， 换 句 话说 ， 发 
送 端 计算 机 上 的 网 络 访问 层 与 接收 端 计算 机 上 的 网 络 访问 层 进 行 通 


信 ， 发 送 端 计 算 机 上 的 网 际 层 与 接收 端 计 算 机 上 的 网 际 层 通信 ， 以 此 
类 推 。 

TCP 软 件 与 建立 连接 (或 想 建立 连接 ) 的 计算 机 上 的 TCP 软 件 进 
行 通信 。 在 对 TCP 的 讨论 中 ,“ 计 算 机 A 与 计算 机 B 建 立 一 个 连接 ”实际 
上 是 指 计算 机 A 上 的 TCP 软 件 与 计算 机 B 上 的 TCP 软 件 建立 了 一 个 连 
接 ， 而 双方 的 TCP 软 件 都 是 为 本 地 应 用 程序 提供 服务 的 。 这 与 第 1 章 中 
介绍 的 端 节 点 验证 略 有 不 同 。 

端 节点 负责 在 TCP/IP 网 络 中 检验 通信 情况 ( 端 节点 是 真正 需要 进 
行 通 信 的 节点 ， 而 中 间 节 点 只 是 负责 转发 消息 ) 。 在 一 个 典型 的 网 络 
环境 中 ( 见 图 6.7) ， 数 据 从 源 子 网 经 过 路 由 器 传递 到 目的 子 网 。 这 些 
路 由 器 通常 工作 于 网 际 层 ， 也 就 是 传输 层 下 面 的 层 。 这 其 中 的 重点 在 
于 路 由 器 不 关心 传输 层 的 信息 ， 它 们 只 是 把 传输 层 数据 当 作 IP 数 据 报 
的 内 容 进 行 传递 。 封 装 在 TCP 分 段 中 的 这 些 控制 和 检验 信息 只 对 目的 
计算 机 上 的 TCP 软 件 有 意义 。 这 种 工作 方式 能 够 加 快 TCP/IP 网 络 之 间 
的 路 由 过 程 (因为 路 由 器 不 必 人 参与 TCP 细 致 的 质量 保证 ) ， 同 时 让 
TCP 能 够 满足 由 端 节点 进行 检验 的 要 求 。 
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路 由 器 #1 路 由 器 2 应 用 层 
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网 络 网 络 网 络 网 络 网 络 网 络 
访问 层 访问 层 访问 层 访问 层 访问 层 访问 层 


图 6.7 路 由 器 转发 但 不 处 理 传输 层 数据 


1。TCP 数 据 格 式 

TCP 数 据 格 式 如 图 6.8 所 示 。 其 复杂 的 结构 揭示 了 TCP 的 复杂 性 和 
功能 的 多 样 性 。 

TCP 数 据 格 式 中 的 字段 如 下 所 示 。 在 学 习 了 后 面 关 于 TCP 连 接 的 
内 容 之 后 ， 会 对 这 些 字段 的 作用 有 更 好 的 了 解 。 

> 源 端 口 (16 位 ) : 分 配给 源 计算 机 上 的 应 用 程序 的 端口 号 。 

> 目的 端口 (16 位 ) : 分 配给 目的 计算 机 上 的 应 用 程序 的 端口 


> 序列 号 (32 位 ) : 当 SYN 标 记 不 为 1 时 ， 这 是 当前 数据 分 段 第 
一 个 字 节 的 序列 号 ; 如 果 SYN 的 值 是 1， 这 个 字段 的 值 就 是 初始 序列 值 
(ISN) ， 用 于 对 序列 号 进行 同步 ， 这 时 第 一 个 字 节 的 序列 号 比 这 个 
字段 的 值 大 1 (也 就 是 ISN 加 1) o 

> 确认 号 (32 位 ) : 用 于 确认 已 经 接收 到 的 数据 分 上段， 其 值 是 
接收 计算 机 即将 接收 的 下 一 个 序列 号 ， 也 就 是 下 一 个 接收 到 的 字 节 的 
序列 号 加 1。 


> 数据 偏 移 (4 位 ) : 这 个 字段 表示 报头 的 长 度 ， 也 就 是 告诉 接 
收 端的 TCP 软件 数据 从 何 开始 。 这 个 值 的 单位 是 32 位 的 字 。 

> 保留 (611) : 保留 字段 ， 为 TCP 将 来 的 发 展 预 留 空间 ， 目 前 
必须 全 部 是 0。 

> 控制 标记 (分别 占 用 1 位 ) : 控制 标记 用 于 表示 数据 分 段 的 特 
殊 信息 。 

> URG: 为 1 时 表示 当前 数据 分 段 是 紧急 的 ， 也 会 让 “紧急 指针 ” 
字段 的 值 有 意义 。 

> ACK: 为 1 时 表示 “确认 号 ?字段 是 有 意义 的 。 

> PSH: 为 1 时 让 TCP 软 件 把 目前 收 到 的 全 部 数据 都 通过 管道 传 
弟 给 接收 应 用 程序 。 

> RST: 为 1 时 会 重 置 连接 。 

> SYN: 为 1 时 表示 序列 号 将 被 同步 ， 说 明 这 是 一 个 连接 的 开 
台 。 请 参见 稍 后 介绍 的 三 次 握手 。 

> FIN: 为 1 时 表示 发 送 端 计算 机 已 经 没有 数据 需要 发 送 了 。 这 
个 标记 用 于 关闭 一 个 连接 。 


数据 〈 长 度 可 变 ) 


一 一 32 位 一 一 一 一 一 一 ”| 


图 6.8 TCP 数 据 格 式 


> 窗口 (16 位 ) : 用 于 流量 控制 的 参数 。 它 定义 了 发 送 端 计算 
机 的 发 送 序 列 号 可 以 超过 最 后 一 个 已 确认 序列 号 的 数量 。 也 就 是 说 ， 
发 送 方 不 必 等 待 每 个 数据 段 被 确认 接收 之 后 才 发 送 下 一 个 数据 分 段 ， 
允许 已 经 确认 接收 的 序列 号 与 正在 发 送 的 序列 号 有 一 定 差别 ， 但 必须 
在 适当 范围 之 内 。 

> 校 验 和 (16 位 ) : 用 于 检验 数据 分 段 的 完整 性 。 接 收 端 计 算 
机 会 根据 接收 到 的 数据 分 段 计 算 校 验 和 ， 并 且 把 结构 与 这 个 字段 的 值 
进行 比较 。TCP 和 UDP 在 计算 校 验 和 时 包含 一 个 具有 IP 地 址 的 伪 报 

> 紧急 指针 (16 位) : 这 是 一 个 偏 移 量 指针 ， 指 向 标记 紧急 信息 
开始 的 序列 号 。 


> 选项 : 指定 一 些 可 选 设置 中 的 某 一 项 。 

> 填充 : 额外 填充 的 0 〈 根 据 需要 ) ， 以 确保 数据 从 32 位 字 的 边 
界 开 始 。 

> 数据 : 数据 分 段 中 的 数据 。 

TCP 需要 所 有 的 这 些 字 段 ， 以 成 功 地 管理 、 确 认 和 检验 网 络 传 
输 。 下 一 小 节 介 绍 TCP 软 件 如 何 使 用 其 中 一 些 字 段 来 管理 数据 的 发 送 
与 接收 。 

2。TCP 连 接 

TCP 的 一 切 操作 都 是 在 一 个 连接 上 下 文 的 环境 中 完成 的 。TCP 通 
过 连接 发 送 和 接收 数据 ， 而 这 个 连接 必须 根据 TCP 的 规则 进行 请 求 、 
打开 和 关闭 。 

本 章 前 面 讲 到 ，TCP 的 功能 之 一 是 为 应 用 程序 提供 访问 网 络 的 接 
口 。 这 个 接口 是 通过 TCP 端 口 提 供 的， 而 为 了 通过 端口 提供 连接 ， 必 
须 打 开 TCP 与 应 用 程序 的 接口 。TCP 支 持 以 下 两 种 打开 状态 。 

> 被 动 打开 : 某 个 应 用 程序 进程 通知 TCP 准 备 通过 TCP 端 口 接收 
连接 ， 这 样 就 会 打开 TCP 到 应 用 程序 的 连接 ， 从 而 为 参与 连接 请 求 做 
准备 。 

> 主动 打开 : 程序 要 求 TCP 发 起 与 男 一 台 计 算 机 (处 于 被 动 打 开 
状态 ) 的 连接 ， 这 就 是 主动 打开 状态 (实际 上 ，TCP 可 以 对 一 个 处 于 
主动 打开 状态 的 计算 机 初 发 起 连接 ， 以 解决 两 台 计 算 机 可 能 同时 尝试 
建立 连接 的 问题 ) 。 

在 通常 情况 下 ， 想 接收 连接 的 应 用 程序 (比如 FTP 服务 器 ) 会 把 
自身 及 其 TCP 端口 置 于 被 动 打 开 状 态 。 在 客户 端 计算 机 上 ，FTP 客 户 
端的 TCP 状 态 一 般 是 关闭 的 ， 直 到 用 户 发 起 一 个 从 FTP 客 户 端 到 FTP 服 
务 器 的 连接 ， 这 对 于 客户 端 来 说 就 是 主动 打开 。 处 于 主动 打开 状态 的 
计算 机 (比如 客户 端 ) 上 的 TCP 软 件 会 开始 一 些 用 于 建立 连接 的 信息 
交换 ， 这 种 信息 交换 被 称 为 “三 次 握手 ”>， 稍 后 将 详细 介绍 。 


客户 端 是 指向 网 络 中 的 其 他 计算 机 请 求 或 接收 服务 的 计算 机 。 

服务 器 是 指向 网 络 中 其 他 计算 机 提供 服务 的 计算 机 。 

TCP 发 送 的 数据 分 段 的 长 度 是 不 定 的 。 在 一 个 数据 分 段 内 ， 每 字 
节 数 据 都 被 分 配 一 个 序列 号 。 接 收 端 计算 机 必须 为 接收 到 的 每 个 字 节 
数据 都 发 送 一 个 确认 信号。 因此 ，TCP 通 信和 是 一 种 传输 与 确认 的 系 
统 。TCP 报 头 中 的 “序列 号 "和 “确认 号 ”字段 ( 见 前 面 小 节 的 介绍 ) 让 
通信 的 TCP 软 件 能 够 定期 更 新 传输 的 状态 。 

实际 上 ， 数 据 分 段 中 并 不 是 为 每 个 字 节 都 单独 编 了 一 个 序列 号 ， 
而 是 在 报头 的 “序列 号 ”字段 指定 了 数据 分 段 第 一 个 字 节 的 序列 号 。 

这 个 规则 有 一 个 例外 。 如 果 数 据 分 段 是 连接 初期 使 用 的 , “序列 
号 ”字段 里 包含 的 是 ISN， 它 的 值 比 数据 分 段 中 第 一 个 字 节 的 序列 号 小 
1 (也 就 是 说 ， 第 一 个 字 节 的 序列 号 是 ISN 加 1) o 

如 果 数 据 分 段 被 成 功 接收 ， 接 收 端 计算 机 会 利用 “确认 号 ”字段 告 
诉 发 送 端 计算 机 它 接收 到 哪个 字 节 。 在 确认 消息 中 , “确认 号 ”字段 的 
值 是 已 接收 的 最 后 一 个 序列 号 加 1。 换 句 话说 , “确认 号 ”字段 中 的 值 是 
计算 机 准备 接收 的 下 一 个 序列 号 。 

如 果 发 送 端 计算 机 没有 在 指定 时 间 内 收 到 确认 消息 ， 它 会 从 已 经 
得 到 确认 的 下 一 字 节 重新 发 送 数据 。 

3。 建 立 连接 

为 了 让 序列 /确认 系统 正常 工作 ， 计 算 机 必须 对 序列 号 进行 同步 。 
换 句 话说 ， 计 算 机 B 必 须知 道 计算 机 A 的 初始 序列 号 (ISN) ， 计 算 机 
A 也 必须 知道 计算 机 B 使 用 什么 ISN 开 始 传输 数据 。 

这 个 序列 号 同步 的 过 程 被 称 为 三 次 握手 。 三 次 握手 总 是 发 生 在 
TCP 连 接 建立 的 初期 ， 其 步骤 如 下 : 

1. 计算 机 A 发 送 一 个 数据 分 段 ， 其 中 的 参数 是 : 

SYN=1 

ACK=0 


序列 号 ==X (X 是 计算 机 A 的 ISN) 

处 于 主动 打开 状态 的 计算 机 (计算 机 A) 发 送 一 个 数据 分 段 ， 其 
中 的 SYN 为 1，ACK 为 0。SYN 是 同步 (synchronize) WHS, ER 
示 在 党 试 建立 一 个 连接 。 第 一 个 数据 分 段 的 报头 中 还 包含 初始 序列 号 

(ISN) ， 标 记 了 计算 机 将 传输 的 第 一 个 字 节 的 序列 号 。 也 就 是 说 ， 
要 发 送 给 计算 机 B 的 第 1 个 字 节 的 序列 号 是 ISN 加 1。 

2. 计算 机 B 接 收 到 计算 机 A 的 数据 分 段 ， 返 回 一 个 数据 分 段 ， 其 
中 的 参数 是 : 

SYN=1 (仍然 在 同步 阶段 ) 

ACK=1 (“确认 号 ”字段 将 包含 一 个 值 ) 

序列 号 =Y (Y 是 计算 机 B 的 ISN) 

确认 号 =M+1 (其 中 的 M 是 从 计算 机 A 接收 到 的 最 后 一 个 序列 
3) 。3. 计算 机 A 向 计算 机 B 发 送 一 个 数据 分 段 ， 确 认 收 到 计算 机 B 
的 ISN: 

SYN=0 

ACK=1 

序列 号 = 序列 中 下 一 个 号 码 (M+1) 

确认 号 =N+1 (其 中 N 是 从 计算 机 B 接 收 到 的 最 后 一 个 序列 号 ) 

在 这 三 次 握手 完成 之 后 ， 连 接 就 被 打开 了 ，TCP 模 块 就 利用 序列 
和 确信 机 制 发 送 和 接收 数据 。 

4. TCP 流 量 控制 

TCP 报 头 中 的 “窗口 ”字段 为 连接 提供 了 一 种 流量 控制 机 制 ， 其 目 
的 是 防止 发 送 端 计算 机 不 要 发 送 得 太 快 ， 以 避免 接收 端 计算 机 来 不 及 
处 理 接收 到 的 数据 而 导致 数据 丢失 。TCP 使 用 的 流量 控制 方法 被 称 为 
“滑动 窗口 ”方法 。 接 收 端 计算 机 利用 “窗口 ”字段 (也 被 称 为 “缓存 大 
小 ”字段 ) 来 定义 一 个 超过 最 后 一 个 已 确认 序列 号 的 序列 号 “窗口 ?>， 在 


这 个 范围 内 的 序列 号 才 允 许 发 送 端 计 算 机 进行 发 送 。 发 送 端 计算 机 在 
没有 接收 到 下 一 个 确认 消息 之 前 不 能 发 送 超过 这 个 窗口 的 序列 号 。 

5. 关闭 连接 

当 需 要 关闭 连接 时 ， 计 算 机 开始 关闭 过 程 。 计 算 机 A 发 送 一 个 数 
据 分 段 ， 其 中 的 FIN 标 记 设置 为 1。 之 后 应 用 程序 进入 “结束 一 一 等 待 
(fin-wait) ”状态 。 在 这 个 状态 下 ， 计 算 机 A 的 TCP 软 件 继续 接收 数据 
分 段 ， 并 处 理 已 经 在 序列 中 的 数据 分 段 ， 但 不 再 从 应 用 程序 接收 数据 
了 。 当 计算 机 B 接 收 到 FIN 数 据 分 段 时 ， 它 返回 对 FIN 的 确认 信息 ， 然 
后 发 送 剩 余 的 数据 分 段 ， 通 知 本 地 应 用 程序 接收 到 了 FIN 消 息 。 计 算 
机 B 向 计算 机 A 发 送 一 个 FIN 数 据 分 段 ， 计 算 机 A 会 返回 确认 消息 ， 连 
接 就 被 关闭 了 。 


UDP 比 TCP 简 单 得 多 ， 不 执行 上 一 小 节 介 绍 的 任何 操作 ， 但 还 是 
有 些 方面 需要 说 明 。 

首先 ， 虽 然 UDP 有 时 被 认为 没有 错误 检验 功能 ， 但 实际 上 它 能 够 
执行 基本 的 错误 检验 ， 因 此 ， 可 以 说 UDP 具有 有 限 的 错误 检验 功能 。 
UDP 数据 报 中 包含 一 个 校 验 和 ， 接 收 端 计算 机 可 以 利用 它 来 检验 数据 
的 完整 性 (一 般 情况 下 ， 这 个 校 验 和 检查 是 可 选 的 ， 而 且 能 够 被 接收 
端 计 算 机 禁用 以 加 快 对 接收 数据 的 处 理 ) 。UDP 数据 报 中 有 一 个 伪 报 
头 ， 包 含 了 数据 报 的 目的 地 址 ， 从 而 提供 了 发 现 数据 报错 误 传 输 的 手 
段 。 另 外 ， 如 果 UDP 接 收 模块 接收 到 一 个 发 给 未 激活 或 未 定义 UDP 端 
口 的 数据 报 ， 它 会 返回 一 个 ICMP 消 息 ， 通 知 源 计算 机 这 个 端口 是 不 可 
到 达 的 。 

其 次 ，UDP 没 有 像 TCP 那 样 提 供 数 据 的 重新 排序 功能 。 在 大 型 网 
络 (比如 Internet) 上 ， 数 据 分 段 可 能 会 经 过 不 同 的 路 径 ， 由 于 路 由 器 
缓存 而 产生 明显 的 延 时 ， 这 时 重新 排序 功能 是 非常 有 意义 的 。 而 在 局 
域 网 上 上， 虽然 UDP 没有 重新 排序 功能 ， 但 一 般 不 会 导致 不 可 靠 的 接 
收 。 

注意 : UDP 和 广播 

UDP 的 简单 、 无 连接 设计 让 它 成 为 网 络 广播 所 使 用 的 协议 ， 广 播 
是 会 被 子 网 上 全 部 计算 机 接收 和 处 理 的 单个 消息 。 很 明显 ， 当 某 台 计 
算 机 想 在 网 络 上 发 送 一 个 广播 时 ， 如 果 需 要 与 子 网 上 每 台 计 算 机 都 同 
时 建立 一 个 TCP 类 型 的 连接 ， 必 然 会 严重 影响 网 络 性 能 。 

UDP 协议 的 主要 用 途 是 把 数据 报 传递 给 应 用 层 。UDP 协议 的 功能 
简单 ， 其 报头 结构 也 很 简单 。 描 述 UDP 的 RFC 768 只 有 三 页 纸 。 前 面 
已 经 说 过 ，UDP 不 会 重新 传输 丢失 或 损坏 的 数据 报 、 重 新 排列 混乱 的 
接收 数据 、 消 除 重复 的 数据 报 、 确 认 数 据 报 的 接收 、 建 立 或 是 终止 连 


接 。 它 主要 是 在 程序 不 必 使 用 TCP 连 接 开 销 的 情况 下 发 送 和 接收 数据 
报 的 一 种 方式 。 如 果 上 述 功能 对 于 应 用 程序 来 说 是 必需 的 ， 它 可 以 自 
己 提 供 这 些 功 能 。 

UDP 头 包 含 4 个 16 位 字段 ， 如 图 6.9 所 示 。 


< 一 一 32 位 — > 
报头 


BG CIC REATARD 


图 6.9 UDP 数据 报 的 报头 和 数据 载 何 


下 面 是 关于 这 些 字段 的 介绍 。 

> 源 端 口 : 这 个 字段 占据 UDP 报头 的 前 16 位 ， 通 常 包含 发 送 数据 
报 的 应 用 程序 所 使 用 的 UDP 端口 。 接 收 端的 应 用 程序 利用 这 个 字段 的 
值 作为 发 送 响应 的 目的 地 址 。 这 个 字段 是 可 选 的 ， 发 送 端的 应 用 程序 
不 是 一 定 要 把 自己 的 端口 写 在 这 个 字段 中 。 如 果 发 送 端的 应 用 程序 不 
写 入 其 端口 号 ， 就 应 该 把 这 个 字段 全 置 为 0。 显然 ， 如 果 这 个 字段 没 
有 包含 有 效 的 端口 地 址 ， 接 收 端的 应 用 程序 就 不 能 发 送 响应 。 然 而 有 
时 这 可 能 正 是 我 们 想 要 的 功能 ， 比 如 单 向 消息 就 不 需要 响应 。 

> 目的 端口 : 这 16 位 字段 包含 的 端口 地 址 是 接收 端 计算 机 上 UDP 
软件 使 用 的 端口 。 

> EE: 这 16 位 字段 以 字 节 为 单位 表示 UDP 数据 报 的 长 度 。 这 
个 长 度 包 括 了 UDP 报头 和 UDP 数据 载荷 。 因 为 UDP 报头 的 长 度 是 8 字 
节 ， 所 以 这 个 值 最 小 是 8。 

> 校 验 和 : 这 16 位 字段 可 以 检验 数据 在 传输 过 程 中 是 否 损坏 。 校 
验 和 是 对 二 进 制 数据 串 执行 特殊 计算 而 得 到 的 结果 。 对 于 UDP 来 说 ， 
校 验 和 是 基于 伪 报头 、UDP 报 头 、UDP 数 据 和 填充 的 0 而 计算 的 。 源 计 
算 机 生成 校 验 和 ， 目 的 计算 机 对 它 进行 检验 ， 让 客户 端 用 用 程序 能 够 
判断 数据 报 是 否 完整 。 


由 于 实际 的 UDP 报头 并 不 包含 源 IP 地 址 或 目标 IP 地 址 ， 数 据 报 可 
能 会 被 传输 到 错误 的 计算 机 或 服务 。 校 验 和 使 用 的 部 分 数据 来 自 于 从 
IPRA (被 称 为 伪 报 头 ) 提取 的 值 ， 这 个 伪 报头 包含 了 目的 IP 地 址 信 
息 ， 让 接收 段 计 算 机 能 够 判断 UDP 数据 报 是 否 被 错误 交付 。 

注意 : 其 他 传输 层 协 议 

还 有 其 他 一 些 协议 也 工作 于 传输 层 。 比 如 数据 报 拥 塞 控制 协议 
(DCCP) 和 流 控 制 传输 协议 (SCTP) 提供 了 传统 TCP 和 UDP 不 具备 
的 增强 特性 ， 而 实时 传输 协议 (RTP) 提供 了 传输 实时 音频 和 视频 的 
结构 。 


防火 墙 是 一 个 系统 ， 保 护 局 域 网 不 被 来 自 Internet 的 未 授权 用 户 攻 
击 。“ 防 火 墙 ”一 词 已 经 成 为 Internet 领域 的 术语 ， 也 是 一 个 具有 多 种 不 
同 定义 的 术语 。 防 火 墙 具有 多 种 功能 ， 但 最 基本 的 特性 之 一 与 本 章 介 
绍 的 内 容 有 关 。 

这 个 基本 特性 就 是 阻 断 对 特定 TCP 和 UDP 端口 的 访问 。 实 际 上 ， 
“防火 墙 * 一 词 有 时 具有 动词 特性 ， 表 示 关 闭 对 端口 的 访问 。 

例如 ， 为 了 发 起 与 服务 器 的 安全 Shell (SSH) 会 话 ， 客 户 端 计算 
机 必须 向 SSH 的 熟知 端口 (TCP 22) 发 送 一 个 请 求 (第 15 章 将 会 详细 
讲解 SSH) 。 如 果 担 心 外 部 入 侵 者 会 通过 SSH 访 问 我 们 的 服务 器 ， 一 
种 方法 是 配置 服务 器 来 停止 使 用 端口 22。 这 样 一 来 ， 服 务 器 就 关闭 了 
SSH 的 应 用 ， 但 也 禁止 了 局 域 网 中 的 合法 用 户 使 用 SSH 来 完成 正常 操 
作 。 另 一 种 方法 是 安装 防火 墙 ， 如 图 6.10 所 示 ， 并 且 配 置 防火 墙 来 阻 
断 对 TCP 端 口 22 的 访问 ， 这 样 做 的 结果 是 ， 局 域 网 中 的 用 户 能 够 在 防 
火 墙 之 内 自由 地 访问 服务 器 上 的 TCP 端口 22， 而 局 域 网 之 外 的 网 络 
用 户 就 不 能 访问 服务 器 的 TCP 端 口 22， 也 就 不 能 通过 SSH 访 问 服务 器 
了 。 事 实 上 ， 这 时 Internet 上 的 用 户 不 能 通过 SSH 访 问 局 域 网 中 的 任何 
计算 机 。 

场景 中 使 用 SSH 的 TCP 端 口 22 作 为 示例 。 防 火 墙 通常 会 阻 断 可 能 
产生 安全 威胁 的 任何 或 全 部 端口 。 网 络 管理 员 一 般 会 阻 断 对 全 部 端口 
的 访问 ， 除 了 必需 的 端口 ， 比 如 处 理 E-mail 的 端口 。 在 连接 Internet 的 
计算 机 上 ， 比 如 Web 服 务 器 ， 通 常会 在 外 部 放置 一 个 防火 墙 ， 从 而 避 
免 对 这 台 计 算 机 的 访问 导致 对 局 域 网 的 非法 访问 。 


ee 


SSH 服务 器 本 地 客户 六 
图 6.10 典型 的 防火 墙 场景 


注意 : 防火 墙 的 两 种 作用 
防火 墙 不 仅 能 阻止 外 部 用 户 访问 网 络 内 部 的 服务 ， 也 能 阻止 内 部 
用 户 访问 网 络 外 部 的 服务 。 


6.5 小 结 


本 章 介 绍 了 TCP/IP 传输 层 的 一 些 关 键 特性 ， 包 括 面向 连接 和 无 连 
接 的 协议 、 多 路 复 用 和 多 路 分 解 、 端 口 和 套 接 字 。 本 章 还 介绍 了 
TCP/IP 传 输 层 协 议 : TCP 和 UDP， 描 述 了 它们 的 一 些 重要 特性 ， 包 括 
TCP 如 何 满足 TCP/IP 提 供 端 节点 检验 的 要 求 、TCP 数 据 格式 、 流 量 控 
制 和 错误 恢复 、 建 立 连接 的 三 次 握手 。 本 章 最 后 还 讨论 了 UDP 报 头 的 
格式 。 


6.6 ASS 


问 : 为 什么 多 路 复 用 和 多 路 分 解 是 必要 的 ? 

答 : 如 果 TCP/IP 不 具有 多 路 复 用 和 多 路 分 解 功 能 ， 那 么 在 任 一 时 
刻 ， 只 有 一 个 应 用 程序 能 够 使 用 网 络 软件 ， 而 且 只 有 一 台 计 算 机 能 够 
连接 到 特定 的 应 用 程序 。 

la): 既然 TCP 比 UDP 提供 了 更 好 的 质量 保证 ， 软 件 开 发 人 员 为 什 
么 还 会 使 用 UDP 作为 传输 协议 呢 ? 

答 : TCP 的 质量 保证 是 以 性 能 为 代价 的 。 如 果 TCP 提 供 的 错误 控 
制 与 流量 控制 是 不 必要 的 ， 则 UDP 会 是 一 种 更 好 的 选择 ， 因 为 它 的 速 
度 更 快 。 

问 : 为 什么 像 Telnet 和 FTP 这 种 支持 交互 会 话 的 应 用 程序 使 用 TCP 
而 不 是 UDP? 

=: TCP 的 控制 和 恢复 特性 提供 了 交互 会 话 所 需 的 可 靠 连接 。 

问 : 网 络 管理 员 为 什么 需要 使 用 防火 墙 故意 关闭 Internet 对 TCP 或 
UDP 端 口 的 访问 ? 

答 : Internet 防 火 墙 关闭 对 特定 端口 的 访问 以 阻止 Intermet 用 户 访问 
使 用 该 端口 的 应 用 程序 。 防 火 墙 还 能 阻止 对 Pternet 的 访问 ， 从 而 防止 
局 域 网 内 部 的 用 户 使 用 Internet 上 的 特定 服务 。 

问 : 为 什么 路 由 器 不 向 发 起 连接 的 计算 机 发 送 TCP 连 接 确认 ? 

答 : 路 由 器 工作 于 网 际 层 (在 传输 层 之 下 ) ， 因 此 不 处 理 TCP 信 


问 : 工作 中 的 FTP 服 务 器 一 般 处 于 被 动 打 开 、 主 动 打 开 还 是 关闭 


答 : 工作 中 的 FTP 服 务 器 一 般 处 于 被 动 打 开 状 态 ， 准 备 好 接受 连 


问 : 三 次 握手 的 第 3 步 为 什么 是 必需 的 ? 


答 : 在 前 两 步 之 后 ， 两 台 计 算 机 已 经 交换 了 ISN 号 ， 所 以 从 理论 
上 来 说 它们 已 经 具有 了 足够 的 信息 来 同步 连接 。 但 是 ， 在 第 2 步 中 发 送 
ISN 的 计算 机 还 没有 收 到 确认 ， 因 此 第 3 步 正 是 确认 第 2 步 中 收 到 的 
ISN。 

问 : UDP 报头 中 哪个 字段 是 可 选 的， 为 什么 ? 

答 : 源 端 口 字段 是 可 选 的 。UDP 是 一 个 无 连接 协议 ， 接 收 端 计 算 
机 上 的 UDP 软件 不 需要 知道 源 端口 。 只 有 在 接收 软件 需要 源 端 口 信息 
进行 错误 检验 时 ， 这 个 字段 才 是 必要 的 。 

问 : 源 端 口 是 16 位 0 时 会 怎么 样 ? 

=: 目的 计算 机 上 的 应 用 程序 无 法 发 送 响应 。 


6.7 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


6.7.1 问题 

.运行 在 TCP 端 口 25 上 的 服务 是 什么 ? 

. 运行 在 UDP 端口 53 上 的 服务 是 什么 ? 

. 在 使 用 TCP 发 送 数据 时 ， 其 最 大 的 记录 编号 是 多 少 ? 
. TCP 主动 打开 和 被 动 打 开 的 区 别 是 什么 ? 

.打开 TCP 连 接 所 需要 的 最 少 步 又 是 几 个 ? 
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6.7.2 练习 


假定 你 为 了 如 下 目的 而 创建 了 自己 的 网 络 服务 : 
> 使 用 专门 的 硬件 接口 与 远程 用 尸 通信 ， 从 而 为 脑 外 科 手 术 提 供 


实时 指令 ; 
将 参与 到 高 性 能 集群 中 的 计算 机 的 统计 信息 适时 地 进行 高 效 传 
输 ; 


> 让 原始 的 现场 设备 把 环境 数据 传输 到 家 庭 网 络 。 

在 上 面 任何 一 种 情况 中 ， 都 要 考虑 是 使 用 TCP 还 是 UDP 传输 协议 
来 设计 服务 。 在 分 析 时 ， 需 要 考虑 如 下 因素 : 

> MERE; 

> 可 靠 性 ; 

> 编程 时 间 。 

TCP 和 UDP 协议 提供 了 预定 义 的 功能 集合 ， 但 是 对 编程 人 员 来 
说 ， 要 想 实 现 一 个 完整 的 应 用 程序 ， 这 只 是 一 个 起 点 。TCP 要 比 UDP 
可 靠 ， 但 是 其 性 能 会 劣 于 UDP。 通 过 TCP 可 以 自己 编码 实现 其 可 靠 
的 特性 ， 但 是 需要 的 编程 时 间 也 会 增加 。 


6.8 15 


复习 下 列 关 键 术语 : 
> ACK: 一 个 控制 标记 ， 表 示 TCP 报 头 中 “确认 号 ?字段 是 有 意义 


的 。 

>“ 确 认 号 ”字段 : TCP 报 头 中 的 一 个 字段 ， 表 示 计 算 机 准备 接收 
的 下 一 个 序列 号 。 它 实际 上 确认 了 之 前 的 全 部 顺序 字 节 的 接收 。 

> 主动 打开 : TCP 尝 试 发 起 一 个 连接 时 的 状态 。 

> 面向 连接 的 协议 : 通过 在 通信 计算 机 之 间 建 立 连接 来 管理 通信 
的 协议 。 

> 无 连接 的 协议 : 不 与 远程 计算 机 建立 连接 就 进行 通信 的 协议 。 

> 控制 标记 : 1 位 标记 ， 表 示 关 于 TCP 数 据 分 段 的 特殊 信息 。 

> 多 路 分 解 : 把 一 路 输入 导向 多 个 输出 。 

> 目的 端口 : 目的 计算 机 上 的 应 用 程序 所 使 用 的 TCP 或 UDP 端 
口 ， 这 个 应 用 程序 将 接收 TCP 数 据 分 段 或 UDP 数据 报 中 的 数据 。 

> FIN: 一 个 控制 标记 ， 用 于 关闭 TCP 连 接 的 过 程 。 

> BASE: 保护 网 络 免 受 Internet 非 法 访问 的 设备 。 

> 初始 序列 号 (ISN) : 一 个 数值 ， 表 示 计 算 机 将 通过 TCP 传输 
的 一 系列 字 节 的 开始 值 。 

> 多 路 复 用 : 把 多 个 输入 合成 一 个 输出 。 

> 被 动 打开 : TCP 端 口 (通常 是 一 个 服务 器 应 用 程序 ) 准备 好 接 
收 连接 的 状态 。 

> 端口 : 为 应 用 程序 与 传输 层 协 议 提供 接口 的 内 部 地 址 。 

> MER: 从 IP 报 头 派生 出 来 的 一 个 结构 ， 用 于 计算 TCP 或 UDP 
校 验 和 ， 从 而 避免 数据 报 由 于 IP 报 头 信息 的 变化 而 发 送 到 错误 目的 。 

> 重新 排序 : 整理 接收 到 的 TCP 数 据 分 段 ， 恢 复 它 们 被 发 送 时 的 
顺序 。 


> 序列 号 : 与 TCP 传 输 的 字 节 相 关联 的 唯一 的 序号 。 

> 滑动 窗口 : 接收 端 计算 机 允许 发 送 端 计算 机 发 送 的 序列 号 范 
围 。 这 种 滑动 窗口 方式 的 流量 控制 是 由 TCP 使 用 的 。 

> 套 接 字 : 特定 计算 机 上 特定 应 用 程序 使 用 的 网 络 地 址 ， 由 计算 
机 的 IP 地 址 和 应 用 程序 的 端口 号 组 成 。 

> 源 端口 : 发 送 TCP 数 据 分 段 或 UDP 数据 报 的 应 用 程序 的 TCP 或 
UDP 端口 。 

> 面向 流 的 处 理 : 连续 输入 〈 一 个 字 节 一 个 字 节 的 ) ， 而 不 是 以 
预定 义 的 数据 块 输入 。 

> SYN: 一 个 控制 标记 ， 表 示 正 在 进行 序列 号 同步 。 这 个 标记 用 
于 TCP 连 接 开始 时 的 三 次 握手 过 程 。 

> TCP: TCP/IP 协 议 禾 中 一 个 面向 连接 的 、 可 靠 的 传输 层 协 议 。 

> 三 次 握手 : 同步 序列 号 并 建立 TCP 连 接 的 一 个 三 步骤 过 程 。 

> UDP: TCP/IP 协 议 禾 中 一 个 无 连接 的 、 不 可 靠 的 传输 层 协 议 。 

> 熟知 端口 : 常见 应 用 程序 所 使 用 的 预定 义 标准 端口 号 ， 是 由 
IANA 指定 。 


7 章 应 用 层 


本 章 介绍 如 下 内 容 : 

> 网 络 服务 ; 

> API; 

> TCP/IP 功 能 。 

TCP/IP 栈 的 顶层 是 应 用 层 ， 是 位 于 传输 层 之 上 的 网 络 组 件 的 一 个 
松散 集合 。 本 章 将 介绍 一 些 应 用 层 组 件 ， 说 明 这 些 组 件 如 何 把 用 户 带 
到 网 络 。 本 章 还 会 讨论 应 用 层 服务 、 操 作 环境 和 网 络 应 用 程序 。 

学 完 本 章 后 ， 你 可 以 : 

> 了 解 应 用 层 ; 

> 知道 应 用 层 的 一 些 网 络 服务 ; 

> 列 出 一 些 重要 的 TCP/PP 工 具 。 


7.1 什么 是 应 用 层 


应 用 层 位 于 TCP/IP 协议 簇 的 最 高 层 ， 在 这 一 层 中 ， 网 络 应 用 程序 
和 服务 通过 第 5 章 介 绍 的 TCP 和 UDP 端口 与 低层 协议 进行 通信 。 也 许 
有 人 会 问 ，TCP 和 UDP 端口 已 经 构成 了 定义 零 号 的 网 络 接口 ， 为 什么 
还 要 把 应 用 层 算 在 协议 栈 中 呢 ? 需要 指明 的 是 ， 在 像 TCP/IP 这 样 的 分 
层 体系 中 ， 每 一 层 都 是 通 向 网 络 的 一 个 接口 。 应 用 层 必须 像 传 输 层 一 
样 了 解 TCP 和 UDP 端口 ， 而 且 必 须 相 应 地 传递 数据 。 

TCP/PP 的 应 用 层 是 一 些 能 够 意识 到 网 络 的 软件 组 件 ， 向 TCP 和 
UDP 端口 发 送 和 接收 数据 。 这 些 组 件 从 还 辑 相似 性 来 说 并 不 相同 ， 有 
些 只 是 收集 网 络 配置 的 简单 工具 ， 而 有 些 则 可 能 是 支持 桌面 操作 系统 
的 用 户 界面 系统 (比如 X 窗 口 界 面 ) 或 应 用 编程 接口 (APD ， 有 些 组 
件 为 网 络 提供 服务 ， 比 如 文件 和 打印 服务 或 名 称 解 析 服 务 。 本 章 将 介 
绍 应 用 层 中 一 些 常见 的 服务 和 程序 ， 这 些 组 件 的 具体 实现 取决 于 编程 
和 软件 设计 的 细节 。 

首先 ， 我 们 要 对 比 一 下 TCP/PP 的 应 用 层 与 OSI 模型 中 相应 的 层 。 


7.2 TCP/IP/WAE==OSI 


第 2 章 讲 到 ，TCP/PP 并 不 是 与 OSI 网 络 模型 完全 一 致 的 。 但 是 ， 
OSI 模型 影响 了 网 络 系统 的 开发 ， 而 且 最 近 多 协议 联网 的 发 展 趋势 更 
加 依赖 于 OSI 术语 与 概念 。 应 用 层 存 在 于 很 多 不 同 的 操作 系统 和 网 络 
环境 ， 而 在 这 些 环境 中 ，OSI 模 型 是 定义 和 描述 网 络 系统 的 重要 工 
具 。OSI 模 型 能 够 帮助 我 们 理解 TCP/IP 应 用 层 中 发 生 的 过 程 。 

TCP/IP 应 用 层 对 应 于 OSI 模 型 的 应 用 层 、 表 示 层 和 会 话 层 AA 
7.1) 。OSI 模 型 的 细致 划分 (用 三 层 而 不 是 一 层 ) 对 TCP/IP 所 谓 的 应 
用 程序 级 (有 了 时 也 被 称 为 过 程 /程序 级 ) 服务 做 了 进一步 的 规划 。 


应 用 层 


较 低 的 
网 际 层 OSI 


层 


网 络 ot 
访问 层 


TCP/IP OSI 


El7.1 TCP/IP 中 的 应 用 层 对 应 于 OSI 模型 中 的 应 用 层 、 表 示 层 和 会 话 
层 


对 OSI 模型 相应 层 的 介绍 如 下 。 

> 应 用 层 : OSI 的 应 用 层 (不 要 与 TCP/IP 的 应 用 层 混 淆 ) 包含 的 
组 件 为 用 户 应 用 程序 提供 服务 并 支持 网 络 访问 。 

> 表示 层 : 表示 层 把 数据 转化 为 与 平台 无 关 的 格式 ， 并 处 理 加 密 
和 数据 压缩 。 

> 会 话 层 : 负责 管理 联网 计算 机 上 应 用 程序 之 间 的 通信 ， 提 供 了 
一 些 传输 层 不 具备 、 与 连接 相关 的 功能 ， 比 如 名 称 识别 和 安全 。 

这 些 服务 对 于 应 用 程序 和 实现 来 说 并 不 是 必需 的 。 在 TCP/IP 模型 
中 ， 各 种 实现 都 不 必 遵 循 这 些 OSI 细 分 的 层次 。 但 从 整体 来 说 ，OSI 模 
型 中 应 用 层 、 表 示 层 和 会 话 层 的 功能 都 属于 TCP/IP 应 用 层 的 职责 。 


7.3 ¡al 


应 用 层 的 很 多 组 件 都 是 网 络 服务 。 前 面 章节 中 讲 到 ， 协 议 系统 中 
的 任何 一 层 都 为 系统 中 的 其 他 层 提供 服务 。 在 大 多 数 情况 下 ， 这 些 服 
务 是 定义 明确 的 、 属 于 协议 系统 的 一 部 分 。 然 而 在 应 用 层 中 ， 这 些 服 
务 对 于 协议 软件 的 运行 并 不 是 必需 的 ， 更 多 的 是 为 用 户 提供 方便 ， 或 
是 让 本 地 操作 系统 连接 到 网 络 。 

客观 地 说 ， 协 议 栈 中 的 低层 协议 与 通信 机 制 有 关 ， 与 日 常用 户 的 
关系 就 不 明显 了 。 而 从 另 一 方面 来 讲 ， 应 用 层 包 含 的 大 量 网 络 服 务 却 
是 为 用 户 提供 的 : 文件 服务 、 远 程 访问 服务 、E-mail 和 HTTP Web 服 务 
协议 。 事 实 上 ， 本 书 的 大 部 分 篇 幅 是 介绍 应 用 层 的 网 络 服务 。 

表 7.1 列 出 了 最 重要 的 一 些 应 用 层 协 议和 服务 。 后 面 章节 会 讨论 
一 些 最 突出 的 应 用 层 服务 ， 包 括 : 


表 7.1 应 用 层 部 分 协议 


协议 

BitTorrent 

通用 Internet 文件 系统 (CIFS) 
域名 系统 (DNS) 


动态 主机 配置 协议 (DHCP) 


描述 

点 对 点 文件 共享 协议 ， 通 常用 于 从 Internet 上 快速 下 载 大 型 文件 
SMB 文件 服务 协议 的 增强 版 本 

把 Internet 名 称 映射 为 IP 地 址 的 一 种 分 层 系统 

用 于 动态 分 配 IP 地 址 和 其 他 网 络 配置 参数 的 协议 


文件 传输 协议 (FTP) 
Finger 
超 文 本 传输 协议 CHTTP) 


Internet 消息 访问 协议 OMAP) 


一 种 上 传 和 下 载 文件 的 流行 协议 
查看 和 请 求 用 户 信息 的 协议 

万 维 网 的 通信 协议 

访问 邮件 消息 的 通用 协议 


轻 量 级 目录 访问 协议 (LDAP) 
网 络 文件 系统 (NFS) 

网 络 时 间 协 议 CNTP) 

邮局 协议 (POP) 
远程 过 程 调用 (RCP) 
服务 器 信息 块 (SMB) 

简单 网 络 管理 协议 (SNMP) 


用 于 实现 和 管理 信息 目录 服务 的 协议 

让 远程 用 户 能 够 访问 文件 资源 的 协议 

{E TCP/IP 网 络 同步 时 钟 和 其 他 时 间 资 源 的 协议 

从 邮件 服务 器 下 载 E-mail 的 协议 

这 个 协议 能 够 让 一 台 计算 机 上 的 程序 调用 另 一 个 计算 机 上 的 子 程序 或 过 程 
文件 和 打印 服务 协议 

管理 网 络 设备 的 协议 


> 文件 和 打印 服务 ; 

> 名 称 解 析 服 务 ; 

> 远程 访问 服务 ; 

> Web 服 务 。 

其 他 一 些 重 要 的 网 络 服务 ， 比 如 邮件 服务 和 网 络 管理 服务 ， 将 在 
其 他 在 章节 介绍 。 


7.3.1 E 


前 面 章节 讲 到 ， 服 务 器 是 为 其 他 计算 机 提供 服务 的 计算 机 ， 文 件 
服务 器 和 打印 服务 器 是 两 种 很 党 见 的 服务 器 。 

打印 服务 器 负责 操作 打印 机 ， 满 足 针对 这 人 台 打 印 机 的 全 部 打印 请 
求 。 文 件 服务 器 操作 数据 存储 设备 (比如 硬盘 ) ， 满 足 对 设备 内 数据 
读 取 和 写 入 的 请 求 。 

由 于 文件 服务 和 打印 服务 太 常 用 了 ， 它 们 经 常会 被 统一 考虑 ， 也 
就 是 经 常会 用 一 台 计算 机 (有 时 甚至 是 同一 个 服务 ) 来 提供 文件 和 打 
印 服务 功能 。 无 论 这 两 个 服务 是 否 在 同一 台 计 算 机 上 ， 它 们 的 原理 是 
一 样 的。 图 7.2 所 示 为 一 个 典型 的 文件 服务 场景 。 对 文件 的 请 求 经 过 
网 络 传 递 到 传输 层 ， 后 者 通过 适当 的 接口 把 请 求 路 由 到 发 文件 服务 器 
的 服务 程序 。 

注意 : 简化 版 本 

7.2 仅 展示 了 与 TCP/IP 相 关 的 基本 部 件 。 在 真实 的 协议 和 操作 
系统 实现 中 ， 可 能 需要 其 他 层 或 组 件 的 帮助 才能 把 数据 转发 给 文件 服 
务 器 的 服务 程序 。 


文件 服务 器 
应 用 层 服务 


文件 服 
务 器 服务 


KES 
访问 层 


所 一 一 文件 服务 请 求 


图 7.2 文件 服务 


文件 服务 系统 ， 比 如 UNIX/Linux 的 网 络 文件 系统 (NFS) 和 
Microsoft 的 通用 Internet 文 件 系 统 (CIFS) 与 服务 器 信息 块 
(SMB) ， 都 工作 于 应 用 层 ， 经 典 的 文件 传输 工具 文件 传输 协议 
(FTP) 和 简单 文件 传输 协议 (TFTP) 亦 是 如 此 。 


7.3.2 名 称 解析 服务 

第 1 章 讲 到 ， 名 称 解析 就 是 把 预定 义 的 、 方 便 用 户 使 用 的 名 称 映射 
为 JP 地址 的 过 程 。 域 名 系统 (DNS) 服务 为 Internet 提 供 了 名 称 解析 ， 
也 能 为 独立 的 TCP/IP 网 络 提 供 名 称 解 析 。DNS 使 用 名 称 服务 器 解决 
DNS 名 称 查询 。 名 称 服务 运行 于 服务 器 的 应 用 层 ， 并 且 与 其 他 名 称 服 
务 器 交换 名 称 解析 信息 。 其 他 常见 的 名 称 解析 系统 有 网 络 信息 服务 
(NIS) 、NetBIOS 名 称 解析 ， 还 有 一 些 名 称 服 务 利 用 了 轻 量 级 目录 访 
问 协 议 (LDAP) o 


» 


7.3.3 We A 


让 用 户 从 一 台 计 算 机 向 另外 一 台 计 算 机 发 起 交互 式 连接 请 求 的 技 
术 大 多 集中 在 应 用 层 。 比 如 第 15 章 将 介绍 的 Telnet 和 SSH 就 可 以 让 用 户 
通过 网 络 登 录 到 远程 系统 并 发 送 命令 ， 而 现代 的 屏幕 共享 工具 为 桌面 
GUI 系统 实现 了 类 似 的 效果 。 

为 了 把 本 地 环境 与 网 络 集成 在 一 起 ， 有 些 网 络 操作 系统 使 用 名 为 
重 定向 器 的 服务 。 重 定向 器 有 时 也 被 称 为 请 求 者 。 

重 定向 器 截获 本 地 计算 机 上 的 服务 请 求 ， 查 看 这 个 请 求 是 否 可 以 
在 本 地 实现 ， 还 是 转发 到 网 络 中 的 其 他 计算 机 。 如 果 请 求 针 对 其 他 计 
算 机 中 的 服务 ， 重 定向 器 就 把 请 求 转发 到 网 络 上 ( 见 图 7.3) o 


将 请 求 传 
输 到 网 络 


图 7.3 重 定 向 器 


重 定向 器 为 需要 访问 网 络 资源 的 用 户 提供 了 通用 的 解决 方案 ， 就 
好 像 这 些 服务 位 于 本 地 环境 中 一 样 。 例 如 ， 对 一 个 远程 硬盘 的 操作 与 
对 客户 端 计算 机 上 本 地 硬盘 的 操作 是 一 样 的 。 


7.3.4 Web 服 务 


超 文 本 传输 协议 (HTTP) 是 应 用 层 的 一 个 协议 ， 是 万 维 网 生态 系 
统 的 核心 。HTTP 最 初 的 用 途 是 传输 文本 和 图 像 ， 但 Web 服务 模型 的 
发 展 需要 大 量 与 Web 相关 的 协议 和 组 件 来 建立 运行 于 Web 浏 览 器 中 的 
工具 。 第 20 章 将 详细 介绍 Web 服 务 范例 。 


7.4 APIA FE AS 


应 用 编程 接口 (APD 是 预定 义 的 编程 组 件 的 集合 ， 应 用 程序 可 
以 利用 它 访问 操作 环境 的 其 他 部 分 ， 也 就 是 与 操作 系统 进行 通信 。 网 
络 协议 栈 就 是 API 概 念 的 典型 应 用 ， 如 图 7.4 所 示 ， 网 络 API 提 供 了 程 
序 与 协议 栈 的 接口 ， 应 用 程序 利用 API 的 函数 打开 和 关闭 连接 、 从 网 
络 读 取 和 写 入 数据 。 


应 用 程序 


网 际 层 
= 


网 络 
Vill E 


+ 网 络 — 
图 7.4 网 络 API 让 应 用 程序 通过 TCP/IP 访问 网 络 


套 接 字 API 最 初 的 开发 目的 是 为 BSD UNIX 的 应 用 程序 提供 一 个 访 
问 TCP/IP 协 议 栈 的 接口 ， 现 在 已 经 广泛 用 于 其 他 系统 ， 作 为 访问 
TCP/IP 的 程序 接口 。 几 年 前 ，Microsoft 开发 了 套 接 字 接 口 的 一 个 版 本 
WinSock。 在 Window 3.1 及 更 早 版 本 里 ， 用 户 必 须 安装 和 配置 
WinSock 的 一 个 实现 才能 访问 TCP/IP 网 络 。 从 Windows 95 开 始 ， 
Microsoft 把 TCP/IP 程 序 接口 直接 枫 入 到 Windows 操 作 系 统 中 。 

像 套 接 字 API 这 样 的 网 络 API 通 过 套 接 字 接收 数据 ， 把 数据 传递 给 
应 用 程序 。 可 见 ， 这 些 API 是 工作 于 应 用 层 的 。 


7.5 TCPAPTA 


应 用 层 还 包含 一 些 TCP/IP 工 具 ( 见 表 7.2) 。 这 些 TCP/P 工 具 最 初 
是 围绕 Internet 和 早期 的 UNIX 网 络 开 发 的 ， 现 在 用 于 配置 、 管 理 和 诊 
断 全 世界 的 TCP/IP 网 络 ， 而 且 有 针对 Windows 和 其 他 网 络 操作 系统 的 
版 本 。 


表 7.2 TCPAPTA 


工具 描述 


连接 工具 

IPConfig 一 个 Windows 工具 ， 显 示 TCP/IP 配置 信息 (相应 的 UNIX 工具 是 ifconfig) 

Ping 测试 网 络 连 通 性 的 工具 

Arp 查看 〈 并 可 能 修改 ) 本 地 或 远程 计算 机 ARP 缓存 的 工具 。ARP 缓存 包含 物理 地 址 与 IP 地 址 之 间 的 
映射 ( 见 第 4 章 ) 

Traceroute 追踪 数据 报 经 过 Internet 路 径 的 工具 

Route 查看 、 添 加 或 编辑 路 由 表 条 目的 工具 〈 见 第 8 BED 

Netstat 显示 IP. UDP. TCP 和 ICMP 统计 数据 的 工具 

NBTstat 显示 NetBIOS 和 NBT 统计 数据 的 工具 

Hostname 返回 本 地 主机 名 称 的 工具 

文件 传输 工具 


Ftp 使 用 TCP 的 基本 文件 传输 工具 


Tftp 

Rep 

远程 工具 
Telnet 

Rexec 

Rsh 

Finger 
Internet 工具 
浏览 器 

新 闻 阅 读 器 
E-mail 阅读 器 
Archie 
Gopher 
Whois 


使 用 UDP 的 基本 文件 传输 工具 ， 一 般 用 于 给 网 络 设备 下 载 代 码 这 样 的 任务 
简单 的 远程 文件 传输 工具 


远程 终端 工具 

通过 rexecd daemon 在 远程 计算 机 上 运行 命令 的 工具 
调用 远程 计算 机 上 的 shell 来 执行 命令 的 工具 

显示 用 户 信 息 的 工具 


能 够 访问 万 维 网 HTML 内 容 的 工具 

与 Internet 新 闻 组 连接 的 工具 

提供 收发 E-mail 功能 的 工具 

能 够 访问 匿名 FTP 站 点 索引 的 工具 ， 曾 经 很 流行 ， 但 万 维 网 及 其 搜索 引擎 降低 了 Archie 的 重要 性 
基于 菜单 的 Interet 信息 工具 。 与 万 维 网 相 比 ， 它 像 Archie 一 样 已 经 过 时 了 

能 够 访问 个 人 联系 信息 目录 (类 似 于 Internet 白 页 ) 的 工具 


7.6 小 结 


本 章 介 绍 了 TCP/IP 应 用 层 ， 描 述 了 它 支 持 的 一 些 应 用 程序 和 服 
务 ， 还 讨论 了 TCP/IP 本 身 所 具有 的 一 些 工 具 。 
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问 : 作为 文件 服务 器 的 计算 机 处 于 运行 状态 ， 而 且 也 连接 到 了 网 
络 ， 但 用 户 不 能 访问 文件 ， 会 是 什么 问题 呢 ? 

答 : 多 种 原因 都 会 导致 这 种 结果 ， 进 一 步 检查 特定 的 操作 系统 和 
配置 会 得 到 更 准确 的 分 析 。 针 对 本 章 讲解 的 内 容 ， 首 先 我 们 要 检查 计 
算 机 的 文件 服务 器 的 服务 程序 是 否 在 运行 。 文 件 服务 器 并 不 仅仅 是 一 
台 计 算 机 ， 它 是 运行 于 计算 机 上 的 一 个 服务 ， 用 于 满足 文件 请 求 。 

问 : OSI 模 型 为 什么 把 应 用 层 的 功能 进一步 划分 为 3 个 单独 的 层 
(会 话 层 、 表 示 层 和 应 用 层 ) ? 

E: 应 用 层 提 供 了 广泛 的 服务 ，OSI 模型 对 应 用 层 的 细 分 为 软件 
开发 人 员 更 好 地 组 织 其 中 的 部 件 提供 了 一 种 模块 化 结构 ， 也 为 应 用 程 
序 与 协议 栈 之 间 的 交互 提供 了 更 多 的 选择 。 


7.8 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


7.8.1 问题 


0 bb NY he 


. 使 用 什么 网 络 工具 可 以 检测 网 络 的 连通 性 ? 
.什么 应 用 层 协 议 用 来 载 入 Web 页 面 ? 

， 哪 两 种 应 用 层 协 议 用 来 接收 邮件 ? 

， 哪个 协议 将 主机 名 称 映射 为 IP 地 址 ? 

. 哪个 协议 用 来 同步 计算 机 时 钟 ? 


7.8.2 练习 


本 章 讲 解 的 大 多 数 主 题 将 在 本 书后 面 详细 讲解 。 应 用 层 中 的 标准 
TCP/IP 配置 工具 主要 用 来 进行 配置 和 网 络 排 错 。 为 了 看 一 下 TCP/IP 工 
具 是 如 何 工作 的 ， 打 开 一 个 终端 窗口 ， 如 果 是 Windows 系 统 ， 输 入 
ipconfig; 如 果 是 Mac OX、UNIX 或 Linux 系 统 ， 则 输入 ifconfig, RE 
ipconfig (或 ifconfig) 工具 提供 了 低层 协议 的 信息 ， 但 是 ， 通 过 终端 窗 
口 使 用 这 些 工具 的 事实 意味 着 ， 这 些 命令 是 通过 应 用 层 来 执行 的 。 终 
端 将 显示 计算 机 的 网 络 配 置信 息 。 
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复习 下 列 关键 术语 : 

> 应 用 编程 接口 (APD : 预定 义 的 编程 组 件 的 集合 ， 应 用 程序 
可 以 使 用 它 来 访问 操作 系统 中 的 其 他 部 分 。 

> SCARS: 满足 网 络 上 对 存储 介质 写 入 或 读 取 文件 的 请 求 。 

> 打印 服务 : 满足 网 络 上 对 打印 文档 的 请 求 。 

> 重 定向 器 : 检查 本 地 资源 请 求 ， 根 据 需 要 转发 到 网 络 。 

> 套 接 字 API: 一 种 网 络 API， 最 初 是 为 BSD UNIX 上 的 应 用 程序 
提供 TCP/IP 接 口 而 开发 的 。 
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第 8 章 路 由 选择 


本 章 介绍 如 下 内 容 : 

> IP 转 发 ; 

> 直接 路 由 和 间接 路 由 ; 

> 路 由 协议 。 

如 果 没 有 路 由 器 ， 支 持 全 球 网 络 (比如 Internet) 的 基础 设备 是 根 
本 不 能 正常 工作 的 。TCP/IP 的 设计 思想 就 是 要 通过 路 由 器 实现 操作 ， 
所 以 不 讨论 路 由 器 就 不 算 完整 地 介绍 了 TCP/IP。 本 章 将 介绍 网 络 上 的 
路 由 器 如 何 经 过 一 个 复杂 的 通信 过 程 来 决定 数据 传递 到 目的 地 的 最 佳 
路 径 ， 内 容 包括 路 由 器 、 路 由 表 和 路 由 协议 。 

学 完 本 章 后 ， 你 可 以 : 

描述 IP 转 发 及 其 工作 原理 ; 

> 区 分 距离 矢量 路 由 和 链 路 状态 路 由 ，; 

> 了 解 核心 路 由 器 、 内 部 路 由 器 和 外 部 路 由 器 所 扮演 的 角色 ; 

> 了 解 音 用 的 内 部 路 由 协议 RIP 和 OSPF。 


s 


8.1 TCP/IP 


在 大 多 数 基 本 形式 中 ， 路 由 器 是 负责 根据 逻辑 地 址 对 通信 流量 进 
行 过 滤 的 设备 。 经 典 的 网 络 路 由 器 工作 于 网 际 层 (OSI 模 型 的 网 络 
层 ) ， 使 用 网 际 层 报头 中 的 IP 寻 址 信息 。 网 络 层 在 OSI 中 也 被 简称 为 第 
3 层 ， 因 此 路 由 器 有 时 被 称 为 第 3 层 设 备 。 近 些 年 来 ， 硬 件 厂商 已 经 开 
发 出 了 可 以 工作 在 OSI 协议 栈 更 高 层 的 路 由 器 。 本 章 会 介绍 第 4 层 到 第 
7 层 路 由 器 ， 但 目前 我 们 只 考虑 工作 于 网 际 层 (BIS 3, MIP 寻 址 
位 于 同一 层 ) 的 路 由 器 。 

路 由 器 是 大 型 TCP/IP 网 络 的 必要 组 成 部 分 。 没 有 路 由 器 ，Internet 
就 不 能 正常 工作 。 事 实 上 ， 如 果 不 是 网 络 路 由 器 和 TCP/IP 路 由 协议 的 
发 展 ，Internet 也 不 会 发 展 到 今天 这 样 的 程度 。 

像 Internet 这 样 的 大 型 网 络 具 有 很 多 路 由 器 ， 提 供 了 从 源 到 目的 
节点 的 多 条 路 径 。 这 些 路 由 器 必须 独立 工作 ， 但 整个 系统 必须 保证 数 
据 能 够 准确 高 效 地 在 网 络 中 传输 。 

当 路 由 器 将 数据 从 一 个 网 络 传输 到 下 一 个 网 络 时 ， 它 会 蔡 换 网 络 
访问 层 报头 信息 ， 因 此 路 由 器 可 以 连接 不 同类 型 的 网 络 。 很 多 路 由 器 
还 维护 关于 最 佳 路 径 的 详细 信息 ， 这 是 根据 距离 、 带 宽 和 时 间 | 综合 
虑 而 得 到 的 。 

在 本 书 编写 之 时 ，TCP/P 中 的 路 由 选择 是 241 份 RFC 文 档 的 主 
题 ， 其 内 容 能 够 轻松 地 填 满 十 几 本 书 。TCP/IP 路 由 选择 真正 出 色 之 处 
是 它 工作 得 非常 好 。 任 何人 都 可 以 使 用 Internet 浏 览 器 与 中 国 或 芬兰 的 
计算 机 用 户 进 行 连接 ， 而 且 不 需要 考虑 会 有 多 少 设备 在 全 世界 转发 这 
个 请 求 。 即 使 在 较 小 的 网 络 上 ， 路 由 器 也 可 以 在 控制 流量 和 维持 网 络 
速度 方面 发 挥 重 要 作用 。 


8.1.1 什么 是 路 由 器 

首 述 路 由 器 最 好 的 方式 是 描述 其 外 观 。 在 它 的 最 简单 形式 中 (或 
者 说 最 基本 形式 ) ， 路 由 器 看 上 去 就 像 一 台 具 有 两 块 网 络 适配器 的 计 
算 机 。 早 期 的 路 由 器 实际 上 就 是 具有 两 块 或 多 块 网 络 适配器 的 计算 机 
(也 被 称 为 多 宿主 计算 机 ) 。 图 8.1 所 示 为 充当 路 由 器 的 多 宿主 计算 
机 。 

理解 路 由 的 第 一 个 步骤 是 要 记 住 了 了 地 址 是 属于 适配器 的 ， 而 不 是 
属于 计算 机 的 。 图 8.1 中 的 计算 机 有 两 个 IP 地 址 ， 一 个 适配器 一 个 。 实 
际 上 ， 这 两 个 适配器 可 以 具有 完全 不 同 的 IP 子 网 、 对 应 于 完全 不 同 的 
物理 网 络 〈 见 图 8.1 中 ) 。 在 图 8.1 中 ， 多 宿主 计算 机 上 的 协议 软件 能 够 
从 网 段 A 接 收 数据 ， 查 看 IP 地 址 信息 来 判断 数据 是 否 属于 网 段 B。 如 果 
是 ， 就 将 其 中 的 网 络 访问 层 报头 信息 替换 为 包含 网 段 B 物 理 地 址 信息 
的 报头 ， 再 把 数据 传递 给 网 络 B。 在 这 种 简单 的 场景 中 ， 多 宿主 计算 
机 起 到 了 路 由 器 的 作用 。 


KE 
适配器 


图 8.1 多 宿主 计算 机 充当 路 由 器 


如 果 想 理解 世界 级 网 络 在 做 什么 ， 可 以 按照 下 面 的 思路 把 上 面 这 
个 场景 复杂 化 。 

> 路 由 器 的 端口 (适配器) 超过 两 个 ， 也 就 是 同时 连接 两 个 以 上 
的 网 络 。 决 定向 哪里 转发 数据 就 变 得 更 复杂 了 ， 而 且 很 可 能 增加 元 余 
路 径 (事实 上 ， 终 端 用 户 在 大 多 数 LAN 中 见 到 的 路 由 器 用 于 连接 两 个 
网 段 ， 但 是 在 Internet 结 构 内 可 以 存在 更 为 复杂 的 场景 ) 。 

> 由 路 由 器 连接 起 来 的 网 络 还 分 别 与 其 他 网 络 连 接 。 换 句 话说 ， 
路 由 器 观察 到 的 网 络 地 址 可 能 并 不 属于 它 直 接连 接 的 网 络 ， 它 必须 具 
有 某 种 策略 把 数据 转发 到 这 些 非 直 连 网 络 上 。 

> 路 由 器 网 络 提供 了 元 余 的 路 径 ， 每 台 路 由 器 必须 能 够 以 某 种 方 
式 决 定 使 用 哪个 路 径 。 

图 8.1 所 示 的 简单 配置 加 上 前 面 这 几 条 复杂 性 ， 就 可 以 得 到 路 由 器 
功能 更 详细 的 描述 ( 见 图 8.2) o 


图 8.2 复杂 网 络 中 的 路 由 


目前 网 络 上 的 大 多 数 路 由 器 不 是 多 宿主 计算 机 ， 因 为 让 专门 的 设 
备 来 负责 路 由 具有 更 高 的 性 价 比 。 路 由 设备 专门 用 于 有 效 地 执行 路 由 
功能 ， 不 包括 完整 计算 机 所 具有 的 那些 额外 特性 。 


8.1.2 选择 过 


基于 前 一 小 节 对 于 简单 路 由 器 的 讨论 ， 对 路 由 器 功能 的 更 全 面 介 
绍 如 下 所 述 。 

1. 路 由 器 从 所 连接 的 网 络 之 一 接收 数据 。 

2. 路 由 器 把 数据 传递 到 协议 栈 的 网 际 层 。 换 句 话 说 ， 路 由 器 抛弃 
网 络 访问 层 报 头 信 息 ， 并 重组 IP 数 据 报 (如 果 有 必要 ) o 

3. 路 由 器 检查 IP 报 头 中 的 目的 地 址 。 

4. 如 果 数 据 的 目的 在 其 他 网 络 ， 路 由 器 就 根据 路 由 表决 定向 哪里 
转发 数据 。 

5. 在 路 由 器 决定 了 它 的 哪个 适配器 要 接收 这 个 数据 后 ， 就 把 数据 
传递 到 适当 的 网 络 访问 层 软 件 ， 让 数据 通过 适配器 进行 传输 。 

这 个 路 由 选择 过 程 如 图 8.3 所 示 。 有 人 也 许 会 觉得 第 4 步 中 的 路 由 
表 很 关键 ， 但 事实 上 路 由 表 和 建立 路 由 表 的 协议 是 路 由 器 具有 的 两 个 
显著 特性 。 对 于 路 由 器 的 大 多 数 讨论 都 是 关于 建立 路 由 表 、 汇 集 路 由 
表 的 路 由 协议 如 何 让 所 有 的 路 由 器 像 一 个 整体 一 样 提供 服务 。 

路 由 的 类 型 主要 有 两 种 ， 它 们 的 名 称 就 源 自 于 其 从 何 处 获得 路 由 
表 信 息 。 

> 静态 路 由 : 要 求 网 络 管理 员 手工 输入 路 由 信息 。 

> 动态 路 由 : 根据 使 用 路 由 协议 获得 的 路 由 信息 来 动态 建立 路 由 
Ro 


路 由 器 


网 络 = a = 
适配器 a A ul 适配器 


图 8.3 复杂 网 络 中 的 路 由 


静态 路 由 可 以 用 于 一 些 特定 场合 ， 很 显然 ， 这 种 需要 由 网 络 管理 
员 手 工 输入 路 由 信息 的 系统 必定 存在 严重 的 局 限 性 。 首 先 ， 静 态 路 由 
不 能 很 好 地 适应 包含 数 百 个 可 行路 由 的 大 型 网 络 。 其 次 ， 除 了 最 简单 
的 网 络 之 外 ， 静 态 路 由 需要 网 络 管理 员 投 入 大 量 的 时 间 ， 因 为 不 仅 要 
创建 路 由 表 ， 还 要 持续 更 新 其 中 的 信息 。 另 外 ， 静 态 路 由 表 不 能 迅速 
地 跟随 网 络 的 变化 而 变化 ， 比 如 当 一 台 路 由 器 关机 时 ， 它 不 能 迅速 做 
出 相应 的 改变 。 

ER: 预 配置 的 路 由 


ASSTSBKHESTHEENERT SEEN, HB RE ALA 
置 静态 路 径 。 预 配置 的 静态 路 由 有 时 可 以 用 于 网 络 排 错 ， 有 时 也 可 以 
用 于 强制 使 用 快速 网 络 连 接 或 平衡 网 络 流量 。 


8.1.3 2 


路 由 表 和 网 际 层 其 他 路 由 元 素 的 用 途 在 于 把 数据 传递 到 正确 的 本 
地 网 络 。 当 数据 到 达 本 地 网 络 之 后 ， 网 络 访问 协议 就 会 知道 它 的 目的 
地 。 因 此 ， 路 由 表 不 需要 存储 完整 的 IP 地 址 ， 只 需要 列 出 网 络 ID 即 可 

(有 关 IP 地 址 的 网 络 ID 和 主机 ID 的 讨论 ， 请 见 第 4 章 和 第 5 章 ) 。 

图 8.4 所 示 为 一 个 非常 基本 的 路 由 表 的 内 容 。 从 本 质 上 讲 ， 路 由 表 
就 是 把 目的 网 络 ID 映射 到 下 一 跳 的 IP 地 址 ， 即 数据 报 通 往 目 的 网 络 的 
下 一 站 。 路 由 表 会 区 分 直接 连接 到 路 由 器 本 身 的 网 络 和 通过 其 他 路 由 
器 间接 连接 过 来 的 网 络 。 下 一 跳 可 以 是 目的 网 络 (如 果 是 直接 连接 
的 ) ， 也 可 以 是 通 向 目的 网 络 的 下 一 个 下 游 路 由 器 。 图 8.4 中 的 路 由 器 
端口 接口 是 指 转发 数据 的 路 由 器 端口 。 

路 由 表 中 的 “下 一 跳 " 条 目 是 理解 动态 路 由 的 关键 。 在 复杂 的 网 络 
中 ， 可 能 存在 着 通 向 目的 的 多 条 路 径 ， 路 由 器 必须 决定 下 一 跳 治 着 哪 
条 路 径 前 进 。 动 态 路 由 器 基于 使 用 路 由 协议 获得 的 信息 来 做 出 决定 。 


路 由 器 


目的 下 一 跳 端口 接口 
— 1 — <— 
129.14.0.0 Direct Connection 1 
150.27.0.0 131.100.18.6 3 
155.111.0.0 Direct Connection 2 
165.48.0.0 129.14.16.1 1 
图 8.4 路 由 表 
注意 : 路 由 表 


主机 计算 机 可 以 像 路 由 器 一 样 具 有 路 由 表 ， 但 由 于 主机 不 需要 执 
行路 由 功能 ， 它 的 路 由 表 通 常 不 会 那么 复杂 。 主 机 通常 会 使 用 默认 路 
由 或 默认 网 关 。 当 数据 报 不 能 在 本 地 网 络 上 传输 或 传递 到 另 一 台 路 由 
器 时 ， 它 就 会 被 传递 到 充当 默认 网 关 的 路 由 器 。 


8.1.4 IP 转 发 


主机 和 路 由 器 都 有 路 由 表 ， 主 机 的 路 由 表 比 路 由 器 的 简单 得 多 ， 
它 可 能 只 包含 两 行 : 一 个 条 目 用 于 本 地 网 络 ， 另 一 个 用 于 默认 路 由 
(用 于 处 理 不 能 在 本 地 网 段 上 传输 的 数据 包 ) 。 这 种 基本 的 路 由 信息 
对 于 把 数据 报 指 向 其 目的 来 说 足够 了 。 稍 后 我 们 会 看 到 ， 路 由 器 的 功 
能 要 更 复杂 一 些 。 

在 第 4 章 讲 到 ，TCP/P 软 件 利 用 ARP 把 IP 地 址 解析 为 本 地 网 段 上 的 
物理 地 址 ， 但 如 果 IP 地 址 不 在 本 地 网 段 上 会 怎么 样 呢 ? 如 果 IP 地 址 
不 在 本 地 网 段 上 ， 主 机 会 把 数据 报 发 送 到 路 由 器 。 现 在 有 人 也 许 已 经 
发 现 了 ， 实 际 情 况 不 是 这 么 简单 的 。 了 报头 〈 见 图 4.3) 只 包含 了 源 和 
目的 的 IP 地 址 ， 它 没有 足够 的 空间 来 列 出 能 够 传输 数据 报 的 中 间 路 由 
器 的 地 址 。 前 面 提 到 过 ，IP 转 发 过 程 实际 上 不 会 在 IP 报 头 中 写 入 路 由 
器 的 地 址 ， 而 是 由 主机 把 数据 报 和 路 由 器 的 IP 地 址 向 下 传递 到 网 络 访 
问 层 ， 该 层 的 协议 软件 会 使 用 一 个 独立 的 查询 过 程 把 数据 报 封装 到 一 
个 帧 中 ， 通 过 本 地 网 段 传 递 给 路 由 器 。 换 名 话说 ， 被 转发 的 数据 报 里 
的 了 地 址 指向 最 终 要 接收 数据 的 主机 ， 而 转发 数据 报 的 帧 中 的 物理 地 
址 指向 路 由 器 上 本 地 适配器 的 地 址 。 

下 面 是 对 这 一 过 程 的 简要 介绍 ( 见 图 8.5) o 


路 由 表 
网 络 | ”路 由 器 


网 际 层 | 去 往 : 201.134.17.5 
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图 8.5 IP 转 发 过 程 
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1. 一 台 主 机 准备 发 送 一 个 IP 数 据 报 ， 它 查看 自己 的 路 由 表 。 

2. 如 果 数 据 报 不 能 在 本 地 网 络 上 发 送 ， 主 机 就 会 从 路 由 表 里 获取 
与 目的 地 址 相关 联 的 路 由 器 的 IP 地 址 (对 于 本 地 网 段 上 的 主机 来 说 ， 
这 个 路 由 器 的 IP 地 址 一 般 都 是 默认 网 天 的 地 址 ) 。 路 由 器 的 IP 地 址 被 


ARP 协 议 解 析 为 物理 地 址 。 


3. 数据 报 (目的 是 远程 主机 ) 和 路 由 器 的 物理 地 址 一 起 被 传递 给 


网 络 访问 层 。 


4. 路 由 器 的 网 络 适 配器 会 接收 到 这 个 帧 ， 因 为 帧 的 目的 物理 地 址 


与 路 由 器 的 物理 地 址 相 匹 配 。 


5. 路 由 器 对 帧 进行 拆 包 ， 把 数据 报 传递 给 网 际 层 。 

6. 路 由 器 查看 数据 报 的 人 P 地 址 。 如 果 这 个 地 址 匹配 路 由 器 自己 的 
IP 地 址 ， 融 表示 数据 是 要 发 给 路 由 器 本 身 的 ; 否则 ， 路 由 器 会 查看 目 
己 的 路 由 表 ， 找 到 与 数据 报 目 的 地 址 相关 联 的 路 由 器 ， 尝 试 转发 这 个 


数据 报 。 


7. 如 果 不 能 把 数据 报 发 送 到 与 路 由 器 相连 接 的 任何 网 段 ， 路 由 器 
就 把 数据 报 发 送 给 另 一 台 路 由 器 ， 上 述 过 程 就 会 重复 进行 (从 第 1 步 开 


始 ) ， 直 到 最 后 一 个 路 由 器 能 够 把 数据 报 直 接 传输 给 目的 主机 。 

此 过 程 中 的 第 6 步 是 路 由 器 的 一 个 重要 特性 。 需 要 记 住 的 是 ， 并 不 
是 具有 两 块 网卡 的 设备 吕 能 充当 路 由 器 。 如 果 疫 有 必要 的 软件 来 支持 
IP 转 发 ， 束 不 能 把 数据 从 一 个 接口 传递 到 另 一 个 。 当 不 具备 IP 转 发 功 
能 的 计算 机 接收 到 目标 是 其 他 计算 机 的 数据 报时 ， 它 只 会 忽略 收 到 的 
数据 。 


8.1.5 直接 路 由 与 间接 路 由 


如 果 一 台 路 由 器 只 连接 了 两 个 子 网 ， 路 由 表 束 会 相当 简单 。 图 8.6 
所 示 的 路 由 器 不 会 看 到 没有 与 其 端口 相关 联 的 IP 地 址 ， 而 且 它 是 直接 
连接 在 全 部 子 网 上 的 。 换 句 话 说 ， 图 中 的 路 由 器 能 够 利用 直接 路 由 传 
输 任何 数据 报 。 


图 8.6 连接 两 个 网 段 的 路 由 器 可 以 直接 到 达 每 个 网 段 


再 来 看 一 看 图 8.7 中 的 更 复杂 一 点 的 网 络 。 在 这 种 情况 下 ， 路 由 器 
A 没有 连接 到 网 段 3， 而 且 在 没有 帮助 的 情况 下 也 不 能 发 现 网 段 3。 这 
种 情况 称 为 间接 路 由 。 大 多 数 路 由 式 网 络 都 在 某 种 程度 上 依赖 于 间接 
路 由 。 大 型 的 公司 网 络 可 能 具有 十 几 个 路 由 器 ， 每 个 网 段 直接 连接 的 
路 由 器 一 般 不 超过 一 两 个 。 稍 后 将 介绍 大 型 网 络 。 到 目前 为 止 ， 关 于 
图 8.7 的 最 大 问题 是 : 路 由 器 A 如 何 发 现 网 段 3? 路 由 器 A 如 何 知 道 发 往 
网 段 3 的 数据 报应 该 转发 给 路 由 器 B 而 不 是 路 由 器 C 呢 ? 


路 由 器 人 A 路 由 器 日 


路 由 器 C 


图 8.7 当 路 由 器 需要 将 数据 报 转发 到 非 直接 连接 的 网 络 时 ， 必 须 执行 间 
接 路 由 选择 


路 由 器 了 解 间接 路 由 的 方式 有 两 种 : 从 系统 管理 员 和 从 其 他 路 由 
器 。 

这 两 种 方式 分 别 对 应 于 静态 路 由 和 动态 路 由 。 系 统管 理 员 可 以 直 
接 向 路 由 表 中 输入 网 络 路 由 (静态 路 由 ) ， 或 者 路 由 器 B 可 以 告诉 路 
由 器 A 关于 网 段 3 的 信息 (动态 路 由 ) 。 动 态 路 由 具有 一 些 优点 ， 首 
先 ， 它 不 需要 人 工 干预 。 其 次 ， 它 可 以 对 网 络 的 改变 做 出 响应 。 如 果 
一 个 新 的 网 段 连接 到 了 路 由 器 B， 路 由 器 B 就 能 把 这 个 改变 通知 路 由 器 
Ao 

事实 证 明 ， 对 于 小 型 、 简 单 和 固定 网 络 来 说 ， 静 态 路 由 是 一 种 有 
效 的 方法 。 如 图 8.7 所 示 的 简单 网 络 就 可 以 使 用 静态 路 由 ， 但 随 着 路 
由 器 数量 的 增加 ， 静 态 路 由 会 变 得 非常 不 适应 。 网 段 数量 的 增加 会 让 
路 由 器 数量 成 倍增 加 ， 为 管理 员 增 加 大 量 额外 的 工作 量 。 更 重要 的 
是 ， 在 大 型 网 络 上 ， 静 态 路 由 的 交互 会 导致 效率 降低 和 诡异 的 行为 ， 
比如 路 由 环 路 (数据 报 在 一 系列 路 由 器 之 间 不 停 地 循环 ， 直 到 其 TTL 
超时 之 后 被 丢弃 为 止 ) 。 

大 多 效 现代 路 由 器 使 用 了 某 种 形式 的 动态 路 由 。 路 由 器 彼此 之 间 
相互 通信 ， 共 享 关 于 网 段 和 网 络 路 径 的 信息 ， 每 台 路 由 器 都 根据 从 这 


种 通信 过 程 中 得 到 的 信息 建立 自己 的 路 由 表 。 下 面 的 小 节 将 介绍 动态 
路 由 是 如 何 工作 的 。 

注意 : 静态 路 由 和 动态 路 由 

路 由 器 有 时 会 同时 使 用 静态 路 由 和 动态 路 由 。 系 统管 理 员 可 以 配 
置 一 些 静态 路 径 ， 让 其 他 路 径 动态 分 配 。 静 态 路 由 有 时 可 以 用 于 强制 
流量 经 过 特定 路 径 ， 例 如 ， 系 统管 理 员 通 过 配置 路 由 器 可 以 把 流量 导 
向 融 宽 比较 大 的 链接 。 


8.1.6 F > 


一 个 路 由 器 组 内 部 的 路 由 器 会 交换 足够 多 的 关于 网 络 的 信息 ， 使 
每 台 路 由 器 建立 的 路 由 表 都 能 够 描述 出 把 数据 报 传输 给 任何 网 段 的 路 
径 。 路 由 器 之 间 都 交换 什么 信息 呢 ? 路 由 器 如 何 建立 自己 的 路 由 表 ? 
从 前 面 的 介绍 可 以 看 出 ， 路 由 器 的 行为 完全 依赖 于 路 由 表 。 目 前 使 用 
的 路 由 协议 有 多 种 ， 其 中 很 多 是 围绕 着 两 种 路 由 方法 之 一 设计 的 ， 这 
两 种 方法 分 别 是 距离 天 量 路 由 和 链 路 状态 路 由 。 

这 两 种 方法 其 实 就 是 路 由 器 相互 通信 和 收集 路 由 信息 所 采用 的 不 
同方 法 ， 下 面 将 对 它们 分 别 介绍 ， 还 会 详细 使 用 这 两 种 方法 的 一 对 路 
由 协议 : RIP (距离 矢量 路 由 协议 ) 和 OSPF ( 链 路 状态 路 由 协议 ) 。 

HAA: 协议 和 实现 

距离 矢量 和 链 路 状态 是 路 由 协议 的 类 别 ， 实 际 协议 的 具体 实现 还 
包括 其 他 特性 和 细节 。 另 外 ， 很 多 路 由 器 支持 启动 脚本 、 吏 态 路 由 条 
目 等 功能 ， 使 对 距离 矢量 或 链 路 状态 路 由 的 理想 化 描述 变 得 非常 复 
Ko 

1. 距离 矢量 路 由 

距离 矢量 路 由 (也 称 为 贝尔 曼 -福特 路 由 ) 是 一 种 高 效 、 简 单 的 路 
由 方法 ， 被 很 多 路 由 协议 所 采用 。 它 曾经 在 路 由 界 占 统治 地 址 ， 虽 然 
最 近 几 年 一 些 更 复杂 的 路 由 方法 (比如 链 路 状态 路 由 ) 逐渐 流行 起 
来 ， 但 距离 矢量 路 由 仍然 相当 常见 。 

距离 矢量 路 由 的 设计 目标 是 让 路 由 器 之 间 所 需 的 通信 最少， 让 路 
由 表 中 必须 保留 的 数据 最 少 。 这 种 设计 理念 认为 路 由 器 不 必 知 道 通 向 
每 个 网 段 的 完整 路 径 ， 而 是 只 需 知道 向 哪个 方向 发 送 数 据 报 即 可 (这 
也 是 术语 “矢量 ”的 由 来 ) 。 网 段 之 间 的 距离 以 数据 报 在 两 个 网 络 之 间 
传输 必须 经 过 的 路 由 器 的 数量 来 表示 ， 而 使 用 距离 矢量 路 由 的 路 由 器 
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优化 路 径 的 方式 是 让 数据 报 必须 经 过 的 路 由 器 达到 最 少 。 这 个 距离 多 
效 被 称 为 " 跳 效 "。 

距离 矢量 路 由 的 工作 方式 如 下 所 示 。 

1. 当 路 由 器 A 初始 化 时 ， 它 感知 到 直接 连接 的 网 段 ， 并 把 这 些 
网 段 瑟 入 到 自己 的 路 由 表 中 。 这 些 直 连 网 段 的 跳 数 是 09， 因为 数据 报 从 
这 人 台 路 由 器 到 达 这 些 网 段 不 需要 经 过 其 他 路 由 器 。 

2. 在 周期 性 的 时 间 间 隔 中 ， 路 由 器 接收 到 来 目 邻 居 路 由 器 的 报 
告 ， 其 中 包含 了 邻居 路 由 器 所 感知 的 网 段 和 相应 的 跳 数 。 

3. 当 路 由 器 A 从 邻居 路 由 器 收 到 报告 后 ， 按 照 如 下 方法 把 新 路 
由 信息 添加 到 自己 的 路 由 表 中 。 

> 如 果 路 由 器 B 的 信息 中 包含 一 个 路 由 器 A 目前 还 不 知道 的 网 
段 ， 路 由 器 A 就 把 这 个 网 段 添加 到 自己 的 路 由 表 中 。 去 往 这 个 新 网 段 
的 路 由 就 是 路 由 器 B， 也 就 是 说 ， 如 果 路 由 器 A 收 到 发 向 这 个 新 网 段 
的 数据 报 ， 它 会 转发 给 路 由 器 B。 对 于 路 由 器 A 来 说 ， 这 个 新 网 段 的 跳 
数 是 路 由 器 B 的 信息 中 列 出 的 跳 数 再 加 1， 因 为 它 与 路 由 器 B 相 比 ， 到 
达 这 个 网 段 需要 多 一 跳 。 

> 如 果 路 由 器 B 的 信息 中 包含 的 网 段 已 经 存在 于 路 由 器 A 的 路 由 
表 中 ， 路 由 器 A 束 会 把 收 到 的 跳 数 加 1， 把 得 到 的 值 与 目 己 路 由 表 中 的 
值 相 比 较 。 如 果 经 过 路 由 器 BB 的 路 径 比 路 由 器 A 已 经 掌握 的 路 径 更 有 
效率 (WEE) ， 路 由 器 A 就 更 新 自己 的 路 由 器 表 ， 把 路 由 器 B 作 为 
通 向 相应 网 段 的 路 径 。 

> 如 果 通 过 路 由 器 B 的 跳 数 比 路 由 器 A 路 由 表 中 当前 的 路 径 跳 
效 大 ， 经 过 路 由 器 B 的 路 径 就 不 会 被 使 用 ， 路 由 器 A 继续 使 用 目 己 路 
由 表 中 保存 的 路 径 。 

随 着 每 一 轮 路 由 表 的 更 新 ， 路 由 器 对 网 络 的 了 解 越 来 越 全 面 。 关 
于 路 由 的 信息 逐渐 散布 到 整个 网 络 。 假 设 网 络 不 发 生 改 变 ， 路 由 器 就 
会 最 终了 解 到 通 向 每 个 网 段 的 最 高 效 的 路 径 。 
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图 8.8 所 示 为 一 个 距离 矢量 路 由 更 新 的 例子 。 注 意 到 在 这 一 时 刻 ， 
已 经 发 生 过 了 一 些 更 新 ， 因 为 路 由 器 A 和 路 由 器 B 都 已 经 了 解 到 疫 有 直 
连 的 网 段 。 在 这 种 情况 下 ， 路 由 器 B 具 有 通 向 网 络 14 的 更 优 路 径 ， 所 
以 路 由 器 A 就 更 新 自己 的 路 由 表 ， 把 发 往 网 络 14 的 数据 转发 给 路 由 器 
B。 对 于 网 络 7 来 说 ， 路 由 器 A 已 经 掌握 的 路 径 更 好 ， 所 以 路 由 表 中 相 
应 的 内 容 没 有 改变 。 

2. 链 路 状态 路 由 

在 假定 路 径 效 率 等 同 于 经 过 的 路 由 器 数量 时 ， 距 离 矢 量 路 由 是 个 
很 好 的 方法 。 这 种 假设 的 初衷 很 好 ， 但 在 有 些 情况 下 过 于 简单 了 (Bl 
使 在 跳 效 一 样 的 情况 下 ， 经 过 低速 链 路 的 路 由 也 会 比 经 过 高 速 链 路 的 
慢 ) 。 另 外 ， 距 离 矢 量 路 由 并 不 特别 适用 于 具有 大 量 路 由 器 的 环境 ， 
因为 每 台 路 由 器 为 每 个 目的 网 段 都 必须 维护 一 个 路 由 条 目 ， 而 这 些 条 
目 不 过 是 矢量 和 跳 数 。 路 由 器 无 法 充分 利用 对 网 络 结构 的 更 多 了 解 来 
提升 其 效率 。 而 且 ， 即 使 在 大 量 信息 都 不 必要 的 情况 下 ， 包 含 距 离 和 
跳 数 的 完整 表格 必须 在 路 由 器 之 间 进 行 传输 。 计 算 机 科学 家 开始 思考 
能 否 做 得 更 好 ， 由 此 诞生 了 链 路 状态 路 由 ， 而 且 它 已 经 成 为 距离 天 量 
路 由 的 主要 对 手 。 


路 由 器 A 的 路 由 表 


图 8.8 距离 矢量 路 由 更 新 


连接 状态 路 由 背后 的 理念 在 于 每 个 路 由 器 都 尝试 建立 关于 网 络 拓 
扑 的 内 部 映射 。 每 台 路 由 器 定期 向 网 络 发 送 状态 信息 ， 其 中 列 出 了 自 
己 直 连 的 其 他 路 由 器 以 及 链 路 的 状态 〈 链 路 在 当前 是 否 可 用 ) 。 路 由 


器 利用 从 其 他 路 由 器 收 到 的 状态 消息 建立 网 络 拓扑 的 映射 ， 当 它 需 
转发 数据 报时 ， 会 根据 现 有 条 件 选择 最 佳 路 径 。 

连接 状态 路 由 在 每 台 路 由 器 上 都 需要 更 多 的 处 理 时 间 ， 但 带宽 消 
耗 减 少 ， 因 为 每 台 路 由 器 不 需要 传播 完整 的 路 由 表 。 另 外 ， 通 过 网 络 
追踪 故障 更 容易 了 ， 因 为 特定 路 由 器 发 出 的 状态 消息 在 网 络 上 传输 时 
不 会 被 改变 (而 在 另 一 方面 ， 使 用 距离 矢量 路 由 方法 的 路 由 器 会 在 收 
到 路 由 消息 时 修改 其 中 的 跳 数 ) o 


8.2 复杂 网 络 上 


本 章 前 面 主 要 讲解 单个 路 由 器 或 一 组 路 由 器 ， 而 实际 上 大 型 网 络 
上 可 能 包含 数 以 百 计 的 路 由 器 ，Internet 则 包含 着 数 以 千 计 的 路 由 器 。 
在 像 Internet 这 样 的 大 型 网 络 上 ， 让 全 部 路 由 器 都 共享 前 面 所 述 路 由 
方法 所 需 的 所 有 信息 是 不 太 可 能 的 。 如 果 每 台 路 由 器 都 处 理 Internet 上 
其 他 所 有 路 由 器 的 路 由 信息 ， 路 由 协议 的 流量 和 路 由 表 的 规模 很 快 就 
会 让 整个 系统 朋 冲 。 对 于 Internet 上 的 路 由 器 来 说 ， 并 不 是 每 全 路 由 器 
都 需要 知道 其 他 所 有 路 由 器 的 信息 。 比 如 伊斯坦布尔 一 个 牙医 办 公 室 
的 路 由 器 不 必 了 解 秘鲁 利 马 油 凌 广 的 路 由 恬 ， 也 一 样 能 够 长 年 正 党 工 
作 。 在 网 络 有 效 组 织 的 情况 下 ， 大 多 数 路 由 器 只 需要 与 相 邻 路 由 器 交 
互 协议 信息 即 可 。 

在 孕育 了 Internet 的 ARPAnet 系 统 中 ， 一 小 组 核心 路 由 器 作为 网 络 
互联 的 中 央 骨 干 网 ， 把 自动 配置 和 管理 的 独立 网 络 连接 在 一 起 。 核 心 
路 由 器 了 解 每 个 网 络 ， 但 不 必 知 道 每 个 子 网 。 只 要 数据 报 能 够 找到 到 
达 核 心路 由 器 的 路 径 ， 就 能 够 到 达 整 个 网 络 的 任何 位 置 。 附 属 网 络 中 
的 路 由 器 不 必 了 解 世界 上 的 全 部 网 络 ， 只 需要 知道 如 何在 相 邻 路 由 器 
之 间 如 何 传输 数据 和 如 何 到 达 核 心路 由 器 即 可 。 

这 个 系统 发 展 为 第 17 章 将 要 讲 到 的 复杂 的 现代 Internet。 

Internet 由 各 个 独自 管理 的 网 络 组 成 ， 这 些 网 络 成 为 自治 系统 。 自 
治 系统 可 以 是 个 公司 网 络 ， 但 目前 更 常见 的 是 与 Internet 服 务 供应 商 

(ISP) 相关 联 的 网 络 。 自 治 系统 的 所 有 者 管理 每 台 路 由 器 的 配置 细 
节 。 大 多 数 路 由 器 按照 如 下 的 通用 分 类 进行 职责 划分 ， 尽 管 一 台 路 由 
器 可 以 充当 多 种 职责 ， 但 是 路 由 器 所 使 用 的 硬件 ， 尤 其 是 协议 ， 确 定 
了 它 在 网 络 中 的 职责 。 

> 外 部 路 由 器 : 外 部 路 由 器 在 自治 网 络 之 间 交 换 路 由 信息 ， 它 们 
维护 自己 及 邻居 自治 网 络 的 路 由 信息 。 边 界 路 由 器 传统 上 使 用 外 部 网 


关 协 议 (EGP) ， 实 际 的 EGP 现在 已 经 过 时 ， 但 外 部 路 由 器 使 用 的 新 
路 由 协议 一 般 也 被 称 为 EGP。 现 在 流行 的 一 种 EGP 是 边界 网 天 协议 
(BGP) 。 外 部 路 由 器 通常 也 作为 自治 网 络 的 内 部 路 由 器 。 

> 内 部 路 由 器 : 自治 网 络 内 部 共享 路 由 信息 的 路 由 器 被 称 为 内 部 


网 关 ， 它 们 使 用 被 称 为 内 部 网 关 协 议 (IGP) 的 一 组 路 由 协议 ， 包 括 
路 由 信息 协议 (RIP) 、 开 放 最 短路 径 优 先 (OSPF) 。 本 章 后 面 会 介 


绍 这 两 个 协议 。 

> 核心 路 由 器 : 尽管 最 初 的 ARPAnet 上 骨干 网 不 再 作为 Internet 的 中 
心 而 出 现 ， 但 是 自治 系统 有 时 会 构建 自己 的 骨干 结构 ， 以 细 分 和 隔离 
流量 。 核 心路 由 器 支持 骨干 系统 。 核 心路 由 器 使 用 的 路 由 协议 包括 网 
关 到 网 关 协 议 (GGP) ， 以 及 新 出 现 的 SPREAD 协 议 。 

需要 说 明 的 是 ， 自 治 网 络 内 部 的 路 由 器 也 可 能 分 层次 进行 配置 。 
一 个 大 型 自治 网 络 可 能 包含 多 组 内 部 路 由 器 ， 并 利用 外 部 路 由 器 传递 
这 些 内 部 组 之 间 的 路 由 信息 。 自 治 网 络 的 管理 者 可 以 根据 需要 设计 路 
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由 器 配置 ， 并 且 相 应 地 选择 路 由 协议 。 


8.3 内 部 路 由 器 


本 章 前 面 讲 到 ， 内 部 路 由 器 工作 于 自治 网 络 的 内 部 ， 它 会 掌握 自 
己 组 内 全 部 路 由 器 所 连接 的 网 段 信 息 ， 但 不 需要 完整 了 解 自 治 系统 之 
外 的 网 络 。 

内 部 路 由 协议 有 多 种 ， 网 络 管理 员 必 须根 据 网 络 情况 和 网 络 硬件 
兼容 性 选择 内 部 路 由 协议 。 下 面 的 小 节 介 绍 两 种 重要 的 内 部 路 由 协 
iM: 路 由 信息 协议 (RIP) 和 开放 最 短路 径 优 先 (OSPF) o 

RIP 是 一 种 距离 矢量 协议 ， 而 OSPF 是 一 种 链 路 状态 协议 ， 实 际 的 
协议 实现 都 需要 解决 一 些 细 节 问 题 。 

注意 : 多 协议 

当今 大 多 数 路 由 器 都 支持 多 种 路 由 协议 。 


8.3.1 = IX (RIP 


RIP 是 一 种 距离 矢量 协议 ， 这 表示 它 根据 跳 数 来 判断 到 达 目 的 的 
最 佳 路 由 。RIP 由 加 州 大 学 伯克利 分 校 开 发 ， 最 初 随 着 UNIX 的 “ 伯 克 
利 系 统 设计 (BSD) ”版 本 的 传播 而 流行 。RIP 曾 经 非常 流行 ， 虽 然 现 
在 被 认为 有 些 过 时 ， 但 仍然 被 广泛 使 用 。RIP I 标 准 的 出 现 解 决 了 RIP 
I 存 在 的 一 些 问题 ， 现 在 很 多 路 由 器 都 支持 RIP II 和 RIP I。RIP II 针对 
IPv6 网 络 的 扩展 被 称 为 RIPng。 

注意 : RIP 路 由 

RIP 在 UNIX 和 Linux 上 是 通过 routed daemon 实 现 的 。 

本 章 前 面 讲 到 ， 作 为 一 种 距离 矢量 协议 ，RIP 需要 路 由 器 收听 和 
集成 来 自 其 他 路 由 器 的 路 由 和 跳 数 信息 。RIP 的 参与 者 被 划分 为 主动 
和 被 动 两 种 。 主 动 RIP 节 点 通常 是 参与 正常 的 距离 矢量 数据 交换 过 程 
的 路 由 器 ， 它 会 把 自己 的 路 由 表 发 送 给 其 他 路 由 器 ， 并 且 收 听 来 自 其 
他 路 由 器 的 更 新 信息 。 被 动 RIP 节 点 只 收听 路 更 新 信息 ， 不 传播 自己 
的 路 由 表 ， 其 典型 代表 就 是 普通 计算 机 (主机 也 需要 路 由 表 ) o 

根据 前 面 对 距 离 矢 量 路 由 的 介绍 ， 有 人 也 许 会 问 : 如 果 接 收 到 的 
跳 数 进行 处 理 后 正好 与 路 由 表 中 保存 的 跳 数 一 样 ， 那 会 怎么 样 呢 ? 对 
于 RIP 来 说 ， 如 果 到 达 同 一 目的 的 两 条 路 径 具 有 相同 的 跳 数 ， 会 使 用 
路 由 表 里 现 有 的 路 径 。 这 样 就 会 避免 由 于 跳 数 的 相同 而 导致 路 由 表 条 
目 不 断 被 修改 。 

RIP 路 由 器 每 30 秒 广播 一 次 更 新 消息 ， 它 还 可 以 要 求 立即 更 新 。 
像 其 他 距离 矢量 协议 一 样 ， 当 网 络 处 于 平衡 状态 时 ，RIP 工作 效果 最 
好 。 如 果 路 由 器 的 数量 变 得 非常 大 ， 路 由 表 的 缓慢 收敛 就 可 能 导致 问 
题 。 出 于 这 个 原因 ，RIP 设置 了 从 第 一 台 路 由 器 到 达 目 的 的 最 大 跳 数 
限制 ， 其 值 是 15。 这 个 规定 限制 了 路 由 器 组 的 数量 ， 但 如 果 以 层级 方 
式 组 织 路 由 器 ，15 跳 范围 之 内 也 可 以 组 成 大 型 网 络 。 


虽然 距离 矢量 方法 没有 特别 考虑 线路 速度 和 物理 网 络 类 型 的 问 
题 ， 但 RIP 允 许 网 络 管理 员 以 手动 方式 把 低速 路 径 的 跳 数 设置 得 很 
大 ， 从 而 影响 实际 的 路 由 选择 。 

古老 的 RIP 协 议 逐 潭 被 新 的 路 由 协议 所 取代 ， 比 如 下 面 要 介绍 的 
OSPF. 


8.3.2 = OSPF 


OSPF 是 比较 新 的 内 部 路 由 协议 ， 正 在 逐渐 取代 RIP。OSPF 是 个 链 
路 状态 协议 ， 最 早出 现 于 1989 年 的 RFC 1131， 之 后 又 进行 了 多 次 更 
To RFC 2328 对 应 OSPF 版 本 2， 之 后 的 RFC 又 添加 了 扩展 。RFC 2740 
定义 了 OSPF 版 本 3， 它 支持 IPv6 网 络 ， 但 是 后 来 又 被 RFC 5340 取 代 。 

OSPF 路 由 器 组 中 的 每 台 路 由 器 都 被 指定 一 个 路 由 器 ID， 通 常 是 刁 
路 由 器 相关 联 的 最 大 IP 地 址 (如 果 路 由 器 使 用 了 一 个 环 回 接 口 ， 路 由 
器 ID 就 是 最 大 的 环 回 地 址 ) 。 

本 章 前 面 讲 到 ， 链 路 状态 路 由 器 会 建立 网 络 拓扑 的 一 个 内 部 映 
射 ， 利 用 路 由 器 ID 来 鉴别 拓扑 里 的 路 由 器 。 每 台 路 由 器 都 把 网 络 描 
绘 为 一 个 树 形 ， 自 己 位 于 树 的 根部 。 这 个 网 络 树 被 称 为 最 短路 径 树 
(SPT) ， 通 过 网 络 的 路 径 就 对 应 于 通过 SPT 的 路 径 。 路 由 器 计算 每 个 
路 由 的 开销 ， 开 销 度量 包括 跳 数 和 其 他 一 些 因 素 ， 比 如 链 路 速度 和 链 
路 的 可 靠 性 。 


8.4 - BGP 


第 17 章 将 会 详细 讲解 Internet 的 结构 ， 但 是 现在 ， 我 们 只 需要 知道 
Internet 是 由 大 量 的 自治 系统 的 内 部 路 径 、 自 治 系统 之 间 的 路 径 ， 以 及 
穿越 自治 系统 的 元 余 路 径 组 成 的 即 可 。 

本 章 前 面 讲 到 ， 外 部 路 由 器 在 自治 系统 网 络 中 传输 流量 时 发 挥 了 
重要 的 作用 。 如 今 Internet 上 的 外 部 路 由 器 所 以 使 用 的 最 常见 协议 是 边 
界 网 关 协 议 (BGP) 。BGP 已 经 有 过 多 次 修改 ， 其 最 新 的 版 本 是 BGP 
4， 在 RRC 4271 中 定义 。 

实际 上 ，BGP 用 途 广泛 ， 可 以 用 作 自 治 系统 内 的 内 部 协议 ， 将 网 
络 细 分 为 更 小 的 区 域 。 在 自治 系统 的 边缘 使 用 的 BGP 版 本 被 称 为 外 部 
边界 网 关 路 由 协议 (eBGP) ， 它 将 消息 从 一 个 自治 系统 传输 到 另外 一 
个 自治 系统 。 在 自治 系统 内 部 使 用 的 BGP 称 为 内 部 边界 网 关 协 议 

(iBGP) 。 

BGP 相 当 健壮 ， 而 且 具 有 可 扩展 性 。 本 章 前 面 讲 到 ，BGP 取 代 了 
早期 的 外 部 协议 ， 只 目的 就 是 为 当今 的 Internet 提 供 服 务 。 实 际 上 ， 如 
果 没 有 BGP， 则 当今 的 Pnternet 也 就 不 复 存 在 。 尽 管 现在 有 关 BGP 路 由 
表 数 量 的 报告 各 不 相同 ， 但 是 在 最 近 几 年 ，BGP 路 由 表 的 规模 一 直 在 
以 指数 级 进行 增长 ， 现 在 其 路 由 条 目 已 经 远 超 300000 条 。 

IANA 为 每 一 个 自治 系统 分 派 了 一 个 唯一 的 数值 ， 称 之 为 AS 号 或 
ASN。BGP 使 用 这 些 AS 号 来 构建 Internet 的 映射 ， 并 将 基于 CIDR 的 无 
类 别 IP 地 址 与 穿越 自治 系统 的 路 由 关联 起 来 。ASN 提 供 了 一 种 方法 来 
识别 网 络 是 否 独 立 于 特定 的 IP 地 址 (或 地 址 范围 ) 。 该 方法 提供 了 去 
往 自治 系统 的 匈 余 路 径 (与 通过 IP 地 址 空间 的 单条 路 径 相对 ) 但 是 由 
于 ASN 不 是 分 层次 的 ， 因 此 BGP 路 由 器 必须 知道 网 络 中 的 所 有 其 他 
BGP 路 由 器 。 

注意 : 公共 ASN 和 私有 ASN 


iBGP 主 要 用 于 在 自治 系统 的 内 部 来 路 由 流量 ， 它 不 需要 IANA 分 
配 的 公共 ASN。 内 部 BGP 路 由 器 使 用 私有 ASN 来 转发 流量 ， 因 此 不 会 
将 流量 转发 到 自治 系统 之 外 。 

BGP 路 由 器 使 用 可 靠 的 TCP 连接 来 传递 与 地 址 范围 相关 的 信息 ， 
并 构建 用 来 描述 网 络 路 径 的 ASN 链 。BGP 协 议 包括 大 量 用 于 路 径 发 现 
的 条 款 (provision) ， 以 及 从 多 个 选择 中 选取 最 高 效 路 径 的 技术 。 

如 果 你 不 是 供职 于 ISP 或 大 型 公司 的 IT 部 门 ， 则 不 会 直接 与 BGP 打 
交道 ， 但 是 具有 一 定 的 BGP 背 景 知 识 对 理解 Internet 的 构架 还 是 很 有 好 
处 的 。 


8.5 | 


在 第 4 章 和 第 5 章 讲 到 ，TCP/PP 路 由 系统 是 围绕 网 络 ID 的 概念 设计 
的 ， 而 网 络 ID 是 基于 IP 地 址 的 地 址 类 别 (A, BEC) 。 在 第 5 章 讲 到 ， 
这 个 地 址 分 类 系统 有 一 些 局 限 性 ， 有 时 并 不 能 有 效 地 把 一 段 地 址 指定 
给 一 个 供应 商 。“ 无 类 别 域 间 路 由 (CIDR) ”提供 了 指定 地 址 和 确定 路 
由 的 另 一 种 方法 。CIDR 系统 利用 地 址 / 掩 码 对 来 指定 主机 ， 比 如 
204.21.128.0/17， 掩 码 数字 表示 地 址 中 有 多 少 位 是 属于 网 络 ID 的 。 

如 果 路 由 协议 支持 CIDR， 它 会 提供 更 有 效 的 路 由 。CIDR 计 路 由 
器 能 够 把 多 类 网 络 同等 对 待 ， 从 而 减少 了 路 由 器 之 间 要 传输 的 信息 。 
最 近 一 些 路 由 协议 ， 比 如 OSPF 和 BGP4， 都 支持 无 类 别 寻 址 。 最 初 
的 RIP 不 支持 CIDR， 但 随后 的 RIP II 更 新 支持 CIDR。 


8.6 


自从 第 一 台 路 由 器 出 现 之 后 ， 硬 件 和 软件 都 逐渐 变 得 越 来 越 复 
杂 。 几 年 前 ， 硬 件 厂 商 开 始 意识 到 在 协议 栈 更 高 层 转发 和 过 滤 流量 的 
好 处 。 

从 第 2 章 到 第 7 章 的 学 习 中 我 们 知道 ， 协 议 栈 中 的 每 一 层 都 提供 了 
不 同 的 服务 ， 并 且 在 其 报头 中 封装 了 不 同 的 信息 。 能 够 访问 更 高 层 协 
的 路 由 器 可 以 根据 更 多 的 信息 来 决定 路 由 。 例 如 ， 工 作 于 传输 层 的 路 
由 器 能 够 根据 源 端 口 和 目的 端口 推断 数据 的 特性 ， 而 工作 于 应 用 层 的 
路 由 器 可 以 更 详细 地 了 解 发 送 数 据 的 应 用 程序 和 应 用 程序 所 使 用 的 协 
议 。 

工作 于 更 高 层 的 路 由 器 有 很 多 优点 ， 比 如 更 好 的 安全 性 。 使 用 这 
种 技术 的 另 一 个 重要 原因 是 服务 质量 (Qos) 的 概念 。 有 些 类 型 的 数 
据 ， 比 如 来 自 于 Internet 电 话 客 户 的 数据 包 ， 对 于 时 间 的 敏感 性 就 比 其 
他 类 型 的 数据 (比如 E-mail 数据 ) 更 高 。 一 旦 连接 建立 之 后 ， 数 据 包 
必须 在 一 个 合理 的 时 间 内 到 达 ， 否 则 通话 就 会 不 连贯 。 工 作 于 应 用 层 
的 路 由 器 能 够 根据 服务 质量 准则 优先 发 送 时间 敏 感 的 数据 包 。 

第 13 章 将 讲 到 ， 新 的 IPv6 协 议 系统 提供 了 其 他 方法 来 满足 服务 质 
量 的 要 求 ， 出 于 对 本 章 知 识 的 要 求 ， 我 们 现在 只 需要 知道 很 多 复杂 的 
现代 路 由 器 并 不 局 限于 IP 转 发 ， 而 且 还 可 以 根据 高 层 协议 实现 其 他 很 
多 服务 。 

这 些 路 由 器 通常 根据 OSI 参考 模型 进行 分 类 。 第 2 章 已 经 介绍 过 ， 
OSI 模型 有 7 层 。 完 成 典型 了 转发 任务 的 路 由 器 工作 于 OSI 模型 的 第 3 层 

(从 下 向 上 数 ) ， 所 以 在 OSI 术语 中 ， 这 种 典型 路 由 器 被 称 为 第 3 层 路 
由 器 (L3) 。 第 4 层 路 由 器 工作 于 传输 层 ， 而 第 7 层 路 由 器 工作 于 OSI 
模型 的 最 高 层 ， 掌 握 了 关于 参与 连接 的 应 用 程序 的 最 多 情况 。 


8.7 小 结 


本 章 详细 介绍 了 路 由 选择 ， 讨 论 了 距离 矢量 和 链 路 状态 路 由 方 
法 ， 还 介绍 了 IP 转 发 、 核 心路 由 器 、 内 部 路 由 器 、 外 部 路 由 器 。 本 章 
最 后 还 讨论 了 两 种 瘦 见 的 内 部 路 由 协议 : RIP 和 OSPF， 并 且 介 绍 了 在 
高 层 协议 实现 路 由 选择 的 概念 。 


8.8 ASS 


问 : 为 了 充当 路 由 器 ， 为 什么 必须 为 计算 机 配置 IP 转 发 功能 ? 

答 : 路 由 器 接收 目的 地 址 不 是 自己 的 数据 报 。 通 常情 况 下 ， 
TCP/IP 软 件 会 忽略 不 是 发 给 自己 的 数据 报 。IP 转 发 提供 了 一 种 方式 来 
接收 和 处 理 必 须 转发 到 其 他 网 络 的 数据 报 。 

问 : 大 型 网 络 为 什么 更 适合 使 用 链 路 状态 路 由 ? 

答 : 距离 矢量 路 由 的 效率 随 着 路 由 器 数量 的 增加 而 降低 ， 每 台 
由 器 都 必须 维护 一 个 完整 的 目的 表 ， 网 络 数据 在 传输 路 径 上 多 次 被 修 
改 。 另 外 ， 每 次 更 新 时 ， 即 使 大 多 数 数据 都 不 变 ， 也 要 发 送 整个 路 由 
表 。 

问 : 外 部 路 由 器 的 作用 是 什么 ? 

答 : 外 部 路 由 器 专门 用 于 自治 网 络 之 间 交 换 路 由 信息 ， 这 样 就 让 
系统 中 的 其 他 路 由 器 不 必 考 虑 到 达 其 他 网 络 的 路 由 。 

问 : RIP 为 什么 将 最 大 跳 数 设置 为 15? 

答 : 如 果 路 由 器 的 数量 太 多 ， 上 比较 缓慢 的 路 由 收敛 会 导致 问题 。 


8.9 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


8.9.1 问题 


. 有 哪 两 种 动态 路 由 ? 

.为 什么 路 由 器 必须 是 多 宿主 的 ? 

.外 部 路 由 器 使 用 的 最 常见 的 路 由 协议 是 什么 ? 
. 无 类 别 路 由 的 效率 为 什么 格外 高 ? 

.OSPF 属于 哪 一 种 路 由 类 型 ? 
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8.9.2 练习 


1. 列 出 当今 使 用 的 3 种 路 由 协议 。 

2. 解释 与 RIP 相 比 ，OSPF 如 何以 一 种 更 为 灵活 的 方法 来 选择 最 佳 
路 由 。 

3. 列举 静态 路 由 的 优势 和 不 足 。 


8.10 语 


复习 下 列 关 键 术语 : 

> 自治 系统 : 参与 到 更 大 网 络 的 网 络 ， 由 自治 实体 进行 维护 。 

> 边界 路 由 协议 (BGP) : 用 来 在 自治 系统 之 间 路 由 流量 的 协 
议 。BGP 也 可 以 用 作 上 自治 系 统 内 的 内 部 协议 。 

> 动态 路 由 : 一 种 路 由 技术 ， 路 由 器 基于 该 技术 获得 的 信息 来 构 
建 路 由 表 。 

> 外 部 路 由 器 : 自治 系统 中 的 一 种 路 由 器 ， 与 其 他 自治 系统 传递 
路 由 信息 。 

> 非 直 连 路 由 : 位 于 两 个 不 是 直接 连接 的 网 络 中 的 路 由 。 

> 内 部 路 由 器 : 自治 系统 内 部 的 路 由 器 ， 与 系统 内 的 其 他 路 由 器 
交换 路 由 信息 。 

> IP 转 发 : 把 IP 数 据 报 从 同一 台 设 备 的 一 个 网 络 接口 传递 到 另 一 
个 网 络 接口 的 过 程 。 

> OSPF (开放 最 短路 径 优先 ) : 一 种 常见 的 链 路 状态 内 部 路 由 
协议 。 

> RIP (路 由 信息 协议 ) : 一 种 常见 的 距离 矢量 内 部 路 由 协议 。 

> 路 由 协议 : 路 由 器 用 于 汇集 路 由 信息 的 协议 。 

> SPT (最 短路 径 树 ) : OSPF 路 由 器 生成 的 一 种 树 形 网 络 映 
射 。 

> 静态 路 由 : 需要 网 络 管理 员 手 动 输入 路 由 信息 的 一 种 路 由 技 
术 。 


第 9 章 EN 


本 章 介绍 如 下 内 容 : 

拨号 连接 ; 

> 宽带 技术 ， 比 如 电缆 和 DSL ; 

> 广域网 ; 

> 无 线 网 络 连 接 ; 

> 连接 设备 。 

前 面 介绍 过 ， 网 络 访问 层 管理 与 物理 网 络 的 接口 ， 但 是 物理 网 络 
到 底 是 什么 呢 ? 在 位 、 字 节 、 端 口 和 协议 层 这 些 概念 之 后 ，Internet 连 
接 需 要 某 种 形式 的 设备 把 计算 机 或 本 地 网 段 连接 到 更 大 的 网 络 上 。 本 
章 就 介绍 访问 TCP/IP 网 络 所 用 的 一 些 设备 和 过 程 。 

学 完 本 章 后 ， 你 可 以 : 

> 描述 计算 机 如 何 使 用 拨号 连接 在 电话 线 上 进行 通信 ， 

> 理解 电缆 宽带 的 基础 概念 ; 

> 讨论 DSL 的 特性 ; 

> 描述 无 线 网 络 的 拓扑 ， 以 及 无 线 安 全 方案 (比如 WEP 和 
WEPA) 的 元 素 和 功能 。 

本 章 还 介绍 了 TCP/IP 网 络 常用 的 连接 设备 ， 比 如 交换 机 、HUB 和 
网 桥 。 

在 学 习 本 章 的 过 程 中 ， 要 记 住 这 些 基于 硬件 的 技术 位 于 TCP/IP 协 
议 栈 的 最 底层 (OSI 栈 的 第 1 层 和 第 2 层 ) ， 而 且 它 们 对 位 于 高 层 的 协 
议和 应 用 程序 而 言 ， 是 不 可 见 的 。Web 浏 览 无 论 连接 的 是 交换 机 、 电 
缆 调制 解 调 器 、 数 字 用 户 线 路 (DSL) 还 是 无 线 AP， 它 始终 都 是 web 


浏览 器 。 


9.1 %5 


在 不 久 前 ， 连 接 TCP/P 网 络 (比如 Internet) 的 一 种 最 常用 的 方式 
是 通过 电话 线 ， 而 在 最 近 几 年 ， 像 电缆 调制 解 调 器 和 DSL 这 样 的 宽带 
技术 降低 了 拨号 连接 的 重要 性 ， 但 很 多 计算 机 仍然 支持 拨号 连接 ， 而 
且 电 话 调制 解 调 器 在 很 多 领域 仍然 是 重要 的 连接 工具 。 

调制 解 调 器 (modem) 通过 电话 线 提供 网 络 访问 ， 它 是 
MOdulate/DEModulate (调制 器 / 解 调 器 的 缩写 。 工 程 师 们 生产 调制 解 
调 器 的 原因 很 简单 ， 他 们 发 现 利用 世界 上 最 广泛 分 布 的 传输 介质 
全 球 电 话 系统 一 一 为 计算 机 提供 通信 有 很 多 好 处 。 最 近 这 些 年 ， 电 话 
线 已 经 发 展 得 非常 复杂 了 ， 有 些 线路 现在 能 够 传递 数字 化 数据 ， 而 有 
些 不 行 。 但 无 论 是 何 种 线路 ， 即 使 是 数字 电话 系统 ， 也 不 是 为 了 处 理 
像 TCP/TP 这 样 的 网 络 协议 而 设计 的 。 调 制 解 调 器 的 作用 在 于 把 来 自 于 
计算 机 的 数字 传输 转化 为 能 够 通过 电话 系统 的 端口 进行 传输 的 模拟 信 
号 ， 同 时 也 把 来 自 电 话 线 的 模拟 信号 转化 为 计算 机 能 够 理解 的 数字 信 
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9.1.1 AA 


第 3 章 讲 到 ， 像 以 太 网 这 样 的 局 域 网 使 用 精致 的 访问 策略 让 计算 机 
共享 网 络 介质 。 与 之 相反 的 是 ， 电 话 线 两 端的 计算 机 不 需要 与 其 他 计 
算 机 争 用 传输 人 介质， 它们 只 需 在 彼此 之 间 共 享 介质 就 可 以 了 。 这 种 连 
接 方 式 被 称 为 点 到 点 连接 ( 见 图 9.1) o 


图 9.1 A point-to-point connection 


点 到 点 连接 比 基 于 局 域 网 的 配置 要 简单 ， 因 为 它 不 需要 具备 让 多 
台 计 算 机 共享 传输 介质 的 方法 。 同 时 ， 通 过 电话 线 的 连接 也 有 一 些 局 
限 性 ， 最 大 的 局 限 之 一 是 电话 连接 的 传输 速率 比 局 域 网 (比如 以 太 
网 ) 要 低 得 多 ， 这 导致 它 使 用 的 协议 相当 简单 ， 越 简单 越 好 。 但 是 ， 
随 着 调制 解 调 器 的 速度 越 来 越 高 ， 调 制 解 调 器 协议 已 经 承担 了 额外 的 
职责 。 

拨号 协议 的 另 一 个 巨大 挑战 是 要 支持 大 量 不 同类 型 的 人 硬件 与 软件 
配置 。 在 局 域 网 上 ， 系 统管 理 员 监 视 和 控制 每 台 计 算 机 的 配置 ， 协 议 
系统 依赖 于 通信 设备 之 间 的 高 度 一 致 性 。 拨 号 连接 却 与 之 不 同 ， 它 几 
乎 可 能 发 生 在 世界 上 的 任何 地 点 。 拨 号 协议 必须 适应 通信 设备 的 硬件 
MEE NBA. 


这 种 只 涉及 两 台 计 算 机 的 点 到 点 连接 也 需要 复杂 的 TCP/IP 栈 来 建 
立 连接 吗 ? 答案 是 “不 ”。 

早期 的 调制 解 调 器 协议 只 不 过 是 一 种 在 电话 线 传输 信息 的 方法 ， 
在 这 种 情况 下 ，TCP/IP 的 逻辑 寻 址 和 网 间 错 误 控 制 就 是 没有 必要 的 。 
随 着 局 域 网 和 Internet 的 出 现 ， 工 程 师 们 开始 考虑 让 拨号 连接 作为 提 
供 网 络 访问 的 一 种 方式 。 这 种 远程 网 络 访问 概念 的 第 一 个 实现 是 对 早 
期 调制 解 调 器 协议 的 扩展 ， 在 这 种 最 初 的 主机 拨号 方案 中 ， 连 接 到 网 
络 的 计算 机 负责 为 网 络 准备 数据 。 无 论 是 显 式 的 还 是 隐 式 的 ， 远 程 计 
算 机 都 像 是 个 终端 ( 见 图 9.2) ， 通 过 一 个 完全 独立 的 过 程 让 联网 主机 
利用 调制 解 调 器 线路 执行 连 网 任务 、 发 送 和 接收 数据 。 

然而 ， 这 些 早期 主机 拨号 方案 有 一 些 局 限 性 。 它 们 反映 了 早期 的 
中 心 化 计算 模式 ， 对 提供 网 络 连接 的 计算 机 要 求 过 多 (在 图 9.2 所 示 
的 配置 中 ， 想 象 一 下 如 果 多 台 计 算 机 同步 连接 到 拨号 服务 器 会 怎么 
样 ) ， 而 且 也 不 能 充分 发 挥 远程 计算 机 的 处 理 能 力 。 

随 着 TCP/IP 和 其 他 可 路 由 协议 的 出 现 ， 设 计 人 员 构 想 出 另 一 种 解 
决 方案 ， 让 远程 计算 机 负责 更 多 的 连 网 任务 ， 而 让 拨号 服务 器 发 挥 类 
似 路 由 器 的 作用 。 这 种 方案 ( 见 图 9.3) 与 新 式 的 、 弱 中 心 化 的 计算 机 
网 络 模式 更 一 致 ， 也 接近 于 TCP/P 的 本 质 特征 。 在 这 种 安排 下 ， 远 程 
计算 机 运行 自己 的 协议 栈 ， 让 调制 解 调 器 协议 工作 于 网 络 访问 层 ， 拨 
号 服务 器 接收 数据 并 路 由 到 更 大 的 网 络 。 
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图 9.2 早期 的 主机 拨号 配置 
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图 9.3 真实 的 TCP/IP 拨号 连接 


这 样 一 来 ， 拨 号 协议 直接 与 TCP/IP 配合 工作 ， 并 成 为 协议 中 的 集 
成 部 分 。 最 常见 的 两 个 TCP/IP 调 制 解 调 器 协议 如 下 所 示 。 

> 串 行 线路 网 际 协 议 (SLIP) : 基于 TCP/IP 的 早期 调制 解 调 器 
协议 ， 相 对 简单 ， 有 很 多 局 限 性 。 

> 点 到 点 协议 (PPP) : 最 初 当 前 用 于 调制 解 调 器 连接 的 最 流行 
协议 ， 是 对 SLIP 的 细 化 ， 具 有 SLIP 所 不 具备 的 很 多 重要 特性 。 


PPP 已 经 取代 SLIP 成 为 拨号 Internet 连 接 的 协议 ， 下 面 将 更 细致 地 
讨论 PPP。 

注意 : 低层 协议 

SLIP 和 PPP 都 建立 于 更 低级 的 串 行 通信 协议 上 ， 后 者 负责 信号 调 
制 和 解 调 的 具体 细节 。 这 些 串 行 通信 协议 提供 了 OSI 模型 中 物理 层 的 
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9.1.3 点 到 Y (PPP 


当 专 家 开始 设计 PPP 标 准时 ， 对 正在 出 现 的 Internet 需 要 哪些 特性 
有 了 更 好 的 理解 ， 也 知道 调制 解 调 器 和 电话 线 的 速率 越 来 越 快 ， 能 够 
承受 更 多 的 协议 开销 。PPP 的 设计 目标 是 解决 SLIP 存 在 的 一 些 缺 点 。 

PPP 的 设计 人 员 还 希望 PPP 能 够 在 连接 建立 初期 进行 动态 协商 配 
置 ， 并 且 能 够 在 会 话 过 程 中 管理 通信 计算 机 之 间 的 链 路 。 

PPP 实 际 上 是 交互 作用 的 一 组 协议 ， 实 现 基于 调制 解 调 器 连 网 所 
需 的 全 部 功能 。PPP 的 设计 经 历 了 一 系列 的 RFC， 目 前 的 PPP 标 准 是 
RFC 1661， 随 后 的 文档 将 PPP 组 件 进 行 了 前 述 和 扩展 。RFC 166148 
PPP 组 件 划 分 为 3 大 类 。 

> 封装 多 协议 数据 报 的 方法 : SLIP 和 PPP 都 能 接受 数据 报 ， 转 换 
为 适合 Internet 的 形式 。 但 PPP 与 SLIP 不 同 的 是 ， 它 还 必须 准备 接受 来 
自 不 同 协议 系统 的 数据 报 。 

> 建立 、 配 置 和 测试 连接 的 链接 控制 协议 (LCP) : PPP 能 够 通 
过 协商 方式 进行 配置 ， 从 而 消除 了 SLIP 连 接 遇 到 的 兼容 问题 。 

> 支持 高 层 协议 系统 的 网 络 控制 协议 (NCP) Fk: PPP 可 以 包含 
不 同 的 子 层 ， 从 而 为 TCP/IP 和 其 他 网 络 协议 提供 单独 的 接口 。 

PPP 的 大 部 分 功能 来 自 于 建立 、 管 理 和 终止 连接 的 LCP 功 能 。 

1. PPP 数 据 

PPP (以 及 SLIP) 的 主要 用 途 是 转发 数据 报 ， 其 难点 在 于 它 必须 
能 够 转发 多 种 类 型 的 数据 报 ， 也 就 是 说 ， 数 据 报 可 能 是 IP 数 据 报 或 OSI 
模型 中 网 络 层 的 其 他 数据 报 。 

注意 : 数据 包 

PPP RFC 使 用 术语 “数据 包 (packet) ”来 描述 在 PPP 帧 中 传输 的 数 
据 。 数 据 包 可 以 由 IP (或 其 他 高 层 协 议 ) 数据 报 组 成 ， 也 可 以 由 通过 
PPP 进 行 操 作 的 其 他 协议 的 数据 组 成 。“ 数 据 包 ”这 个 词 在 整个 网 络 界 


用 于 表示 经 过 网 络 传输 的 数据 ， 它 并 不 是 很 严密 的 术语 。 本 书 中 大 部 
分 内 容 会 使 用 更 精确 的 术语 ， 比 如 “数据 报 (datagram) ” 但 是 ， 并 
不 是 所 有 的 PPP 数 据 包 都 是 数据 报 ， 所 以 为 与 RFC 保 持 一 致 ， 本 章 课 
程 用 术语 “数据 包 ” 表 示 经 过 PPP 传 输 的 数据 。 

PPP 也 要 转发 与 自己 协议 相关 的 信息 ， 这 些 协议 的 作用 是 建立 和 
管理 调制 解 调 器 连接 。 通 信 设 备 在 PPP 连 接 过 程 中 ， 会 交换 多 种 类 型 
的 消息 和 请 求 。 通 信 计 算 机 必须 交换 用 于 建立 、 管 理 和 关闭 连接 的 
LCP 数 据 包 ， 支 持 PPP 身 份 验 证 功能 (可 选 ) 的 验证 数据 包 ， 与 各 种 协 
议 簇 通信 的 NCP 数 据 包 。 在 连接 初期 交换 的 LCP 数 据 配 置 用 于 全 部 协 
议 共同 的 连接 参数 ，NCP 协 议 配 置 与 特定 协议 簇 相 关 的 参数 。 

PPP 帧 的 数据 格式 如 图 9.4 所 示 ， 其 中 包括 如 下 字段 。 


MM: 封装 de 


图 9.4 PPP 数 据 格式 


> 协议 : 1 或 2 字 节 的 字段 ， 提 供 代表 被 封装 数据 包 协 议 类 型 的 标 
识 号 。 可 能 的 类 型 包括 LCP 数 据 包 、NCP 数 据 包 、IP 数 据 包 和 OSI 模 型 
网 络 层 协议 数据 包 。ICANN 负 责 规定 各 种 协议 类 型 的 标准 标识 号 码 。 

> 封装 的 数据 ( 零 或 多 个 字 节 ) : 帧 中 传输 的 控制 数据 包 或 高 层 
数据 报 。 

> 填充 (可 选 ， 长 度 不 定 ) : 协议 字段 指定 的 协议 所 需 的 额外 字 
节 。 每 个 协议 自己 负责 区 分 填充 字 节 与 被 封装 的 数据 报 。 

2. PPP 连 接 

PPP 连 接 的 过 程 如 下 所 示 。 

1. 使 用 LCP 协 商 过 程 建立 连接 。 

2. 如 果 第 1 步 的 协商 过 程 指定 了 身份 验证 要 求 ， 通 信 计 算 机 就 进 
入 身份 验证 阶段 。RFC1661 提 供 了 密码 验证 协议 (PAP) 和 挑战 握手 
验证 协议 (CHAP) 这 两 个 可 选 的 验证 选项 。PPP 还 支持 其 他 身份 验证 
协议 。 

3. PPP 利 用 NCP 数 据 包 指 定 与 特定 协议 相关 的 配置 信息 。 

4. PPP 传 输 从 高 层 协 议 接收 到 的 数据 。 如 果 第 1 步 的 协商 过 程 指 
定 了 链接 质量 监视 ， 监 视 协 议 就 会 传输 监视 信息 。NCP 还 可 能 传输 与 
特定 协议 相关 的 信息 。 

5. PPP 交 换 LCP 终 止 数据 包 来 关闭 连接 。 


9.2 H4 


Internet 服 务 的 需求 ， 以 及 不 断 增强 的 计算 机 系统 的 能 力 ， 促 使 业 
界 寻 找 新 的 连接 方式 来 取代 速度 慢 的 电话 调制 解 调 器 。 出 于 成 本 的 考 
虑 ， 服 务 提供 商 并 不 是 提供 一 个 全 新 的 布线 体系 ， 而 是 利用 现 有 线路 
提供 Internet 服 务 。 

一 种 分 布 到 每 家 每 户 并 且 可 以 支持 Internet 服 务 的 布线 系统 就 是 有 
线 电视 网 络 。 基 于 电缆 的 宽带 目前 在 世界 很 多 地 方 都 很 常见 了 ， 典 型 
的 电 统 调制 解 调 器 连接 如 图 9.5 所 示 。 

电 统 调制 解 调 器 直接 连接 到 一 条 同 轴 电 统 ， 后 者 被 连接 到 有 线 电 
视 服务 网 络 上 。 这 个 调制 解 调 器 通常 具有 一 个 以 太 网 接口 ， 可 以 连接 
到 单 台 计算 机 或 小 型 局 域 网 中 的 交换 机 或 路 由 器 。 
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图 9.5 典型 的 电 绕 调制 解 调 器 配置 


前 面 讲 到 ， 术 语 “ 调 制 解 调 器 ”是 由 “调制 器 "和 “ 解 调 器 ”的 缩写 。 
与 电话 调制 解 调 器 相同 ， 电 线 调 制 解 调 器 实现 数字 信和 号 与 模拟 信号 的 
转换 ， 从 而 让 数据 能 够 通过 电缆 连接 高 效 行 输 。 

名 为 电缆 调制 解 调 器 终端 系统 (CMTS) 的 设备 ， 在 有 线 电视 提 
供 商 网 络 的 接口 ， 接 收 来 自 电 线 调 制 解 调 器 的 信号 ， 把 它 转 换 回 数字 
形式 。 有 线 电 视 提供 商 再 从 上 游 1 SP 租用 宽带 线路 ， 利 用 路 由 器 把 用 户 
与 Internet 连接 起 来 。 提 供 商 还 可 以 提供 其 他 服务 ， 比 如 用 DHCP 给 区 
络 上 的 用 户 动 态 分 配 IP 地 址 。 

虽然 电缆 调制 解 调 器 起 到 了 两 种 不 同 传输 介质 的 接口 的 作用 ， 但 
它 并 不 是 一 个 真正 的 路 由 器 ， 更 像 是 一 个 网 桥 (本 章 后 面 将 会 讲 
解 ) 。 电 缆 调 制 解 调 器 根据 物理 (MAC) 地 址 在 网 络 访问 层 过 滤 通 
信 。 然 而 近 几 年 来 ， 有 些 厂商 在 一 些 家 用 路 由 器 设备 中 内 置 了 电线 调 
制 解 调 器 ， 所 以 我 们 可 能 会 看 到 一 些 组 合 设 备 ， 它 们 同时 具有 路 由 器 
和 电 统 调制 解 调 器 的 功能 。 


电缆 调制 解 调 器 厂商 在 早期 都 使 用 自己 专属 的 标准 在 电缆 介质 上 
管理 通信 。 在 20 世纪 90 年 代 末 期 ， 一 些 有 线 电 视 公 司 针 对 电缆 调制 解 
调 器 网 络 推出 了 基于 电缆 服务 的 数字 接口 规范 (DOCSIS) . RBH 
缆 调 制 解 调 器 终端 系统 (CMTS) 和 电缆 调制 解 调 器 都 是 与 DOCSISH 
容 的 ， 用 户 不 需要 做 任何 工作 就 可 以 进行 连接 ， 但 为 了 防止 盗用 服 
务 ， 有 线 电视 公司 通常 要 求 用 户 预 先 注 册 电 绕 调制 解 调 器 的 MAC 地 址 
才能 连接 到 网 络 。 


9.3 数字 E DSL 


另 一 种 适合 实现 家 用 宽带 的 传输 介质 就 是 电话 网 。 当 然 ， 传 统 的 
电话 调制 解 调 器 使 用 的 就 是 电话 网 ， 但 电话 公司 认为 使 用 不 同 的 万 法 
可 以 得 到 更 好 的 性 能 ， 这 就 是 数字 用 户 线路 (DSL) 。 

事实 上 ， 电 话 网 使 用 的 双 绞 线 能 够 提供 的 容量 远 超过 语音 通信 的 
需求 。DSL 收 发 器 作为 局 域 网 与 电话 网 的 接口 ， 其 工作 频率 不 会 影响 
线路 的 语音 通信 ， 因 此 DSL 工 作 时 不 会 占用 线路 或 影响 电话 服务 。 

与 电缆 网 络 一 样 的 是 ，DSL 网 络 要 求 在 线路 另 一 端 也 有 一 台 设 备 
接收 信号 ， 并 且 通 过 服务 提供 商 的 网 络 连 接 到 Internet ， 这 种 设备 就 
是 “数字 服务 线路 访问 多 路 复 用 器 (DSLAM) ”， 该 设备 充当 DSL 连 接 
的 另外 一 端 〈 见 图 9.6) 。 与 电缆 网 络 上 一 个 网 段 的 全 部 用 户 共享 介质 
不 同 ， 每 个 DSL 用 户 在 收发 器 与 DSLAM 之 间 都 是 专线 连接 ， 所 以 性 能 
受 通信 量 的 影响 也 比较 小 。 读 者 可 能 会 觉得 ， 电 线 网 络 与 LAN 类 似 ， 
而 DSL 线路 则 与 点 到 点 电话 连接 类 似 。 


与 其 他 DSL 
用 户 的 
专用 连接 


图 9.6 使 用 DSL 连接 到 Internet 


DSL 具 有 多 种 形式 ， 包 括 ADSL ( 非 对 称 DSL， 用 于 小 型 办 公 室 和 
家 庭 的 最 流行 方式 ) ~ HDSL (SDSL) 、VDSL (其 高 速 DSL) 、 
SDSL (对 称 DSL， 上 行 和 下 行 带宽 相等 ;和 IDSL (基于 DSL 的 
ISDN) 。 从 协议 层 来 看 ，DSL 根 据 装置 和 实现 有 多 种 变化 。 有 些 DSL 
设备 集成 到 了 交换 机 或 路 由 器 。 有 些 则 充当 网 桥 (类 似 于 电缆 调制 解 
Zz) ， 在 网 络 访问 层 根据 物理 (MAC) 地 址 过 滤 流 量 。DSL 设 备 通 
常用 点 到 点 协议 (比如 PPP) 封装 数据 ， 比 如 最 流行 的 基于 以 太 网 的 
PPP (PPPoE) 协议 。 


9.4 WAN 


具有 大 量 计算 机 的 公司 和 大 型 机 构 对 网 络 访问 的 需求 不 是 像 拨 号 
或 DSL 这 样 的 小 型 技术 所 能 满足 的 ， 关 键 问题 在 于 如 何 利 用 专 有 连接 
把 分 散在 不 同 地 点 的 分 支部 门 连接 起 来 ， 还 要 具有 类 似 于 局 域 网 的 私 
密 性 ， 并 且 在 高 级 应 用 层面 提供 足够 的 性 能 。 这 个 问题 促进 了 广域网 
的 发 展 。 

广域网 技术 能 够 在 远 距 离 提 供 高 速率 带宽 连 网。 虽然 广域网 的 性 
能 不 是 像 局 域 网 那样 快 ， 但 通常 比 利 用 标准 连 网 技术 通过 Internet 连 接 
远程 主机 的 速度 要 快 (而 且 更 安全 ) 。 广 域 网 风格 的 连接 通常 会 以 某 
种 方式 提供 对 大 容量 公司 网 络 的 访问 ， 从 某 种 意义 上 来 说 ， 广 域 网 就 
是 Internet 本 身 的 核心 。 

广域网 的 一 些 形式 包括 : 

> 帧 中 继 ，; 

> 综合 业务 数字 网 (ISDN) ; 

> 高 级 数据 链 路 控制 (HDLC) ; 

> 异步 传输 模式 (ATM) 。 

虽然 这 些 看 上 去 非常 复杂 ， 有 些 吓 人 (RHEE) ， 但 实际 上 
它们 也 是 由 工作 于 TCP/IP 网 络 访问 层 协议 进行 管理 的 物理 网 络 规范 的 
另 一 种 形式 (广域网 协议 几乎 一 直 是 OSI 模 型 的 中 心 ， 所 以 一 定 记 住 
网 络 访问 层 对 应 于 OSI 模型 的 物理 层 和 数据 链 路 层 ， 也 就 是 所 谓 的 第 1 
层 和 第 2 层 ) 。 

典型 的 广域网 场景 如 图 9.7 所 示 。 服务 提供 商 运行 一 个 广域网 ， 提 
供 对 Internet 的 访问 ， 也 提供 对 用 户 分 支 机 构 的 访问 。 一 个 本 地 环 路 把 
提供 商 的 办 公 室 连接 到 所 谓 的 边界 点 ， 也 就 是 客户 连接 到 网 络 的 点 。 
客户 提供 路 由 器 或 其 他 必要 的 专用 设备 ， 从 而 通过 局 域 网 连接 到 广 域 
网 。 


Internet 


的 其 余部 分 


提供 商 的 
办 公 地 点 | 


提供 商 的 
办 公 地 点 


图 9.7 典型 的 WAN 场 景 


提供 商 确保 从 边界 点 之 后 的 专用 宽带 和 服务 级 别 。 服 务 的 安排 是 
多 种 多 样 的 ， 可 以 由 专用 租借 线路 组 成 ， 也 可 以 基于 电路 或 或 包 交 换 
计量 收费 。 


9.5 CME 


随 着 技术 的 不 断 发 展 ， 厂 商 和 用 户 都 开始 考虑 不 断 架 设 电 绕 、 通 
过 以 太 网 端口 连接 计算 机 是 否 还 值得 做 。 一 些 标准 开始 把 无 线 网 络 连 
接 集 成 到 TCP/IP， 下 面 的 小 节 将 讨论 其 中 一 些 技术 ， 包 括 : 

> 802.11 网 络 ; 

> 移动 IP; 

> E, 

这 些 技术 集成 到 产品 和 服务 的 方式 取决 于 厂商 ， 下 面 的 小 节 主 要 


介绍 一 些 概 念 。 


9.5.1 802.11 43 


第 3 章 讲 到 ， 物 理 网 络 的 细节 存在 于 TCP/IP 协 议 栈 的 网 络 访问 层 。 
对 无 线 TCP/IP 网 络 的 最 简单 理解 就 是 在 网 络 访问 层 使 用 无 线 方式 连接 
的 普通 网 络 。 流 行 的 IEEE 802.11 规 范 为 网 络 访问 层 进行 无 线 网 络 连 接 
提供 了 一 个 模型 。 

802.11 协 议 栈 如 图 9.8 所 示 。 网 络 访 问 层 的 无 线 组 件 与 以 前 学 习 的 
其 他 网 络 体系 是 同等 的 。 事 实 上 ，802.11 因 为 与 IEEE 802.3 以 太 网 标 
准 的 相似 性 和 兼容 性 ， 经 常 被 称 为 无 线 以 太 网 。 
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图 9.8802.11 协议 位 于 TCP/IP 的 网 络 访问 层 


从 图 9.8 可 以 看 出 ，802.11 规 范 位 于 OSI 参考 模型 的 MAC 子 层 。 
MAC 子 层 属于 OSI 模型 的 数据 链 路 层 。 从 第 2 章 中 可 以 知道 ，OSI 模 型 
数据 链 路 层 和 物理 层 对 应 于 TCP/IP 的 网 络 访问 层 。 物 理 层 的 各 种 选项 
分 别 代 表 了 不 同 的 无 线 广 播 形 式 ， 包 括 跳 频 扩 频 (FHSS) 、 直 接 序列 
扩 频 (DSSS) 、 正 交 频 分 复 用 (OFDM) 和 高 速率 直接 序列 复 用 

(HR/DSSS) 。 

无 线 网 络 与 有 线 网 络 的 主要 区 别 就 是 节点 是 移动 的 ， 换 句 话说 ， 
网 络 必须 能 够 适应 设备 位 置 的 改变 。 但 从 前 面 的 学 习 中 可 以 知道 ， 
TCP/IP 网 络 的 原始 传输 系统 是 建立 在 这 样 一 种 假设 上 : 每 台 设备 都 位 
于 固定 位 置 。 如 果 一 台 计 算 机 移动 到 另 一 个 网 段 ， 它 必须 配置 为 不 同 
的 地 址 ， 否 则 将 无 法 工作 。 但 无 线 网 络 上 的 设备 会 持续 移动 ， 而 且 在 
这 个 环境 中 虽然 保留 了 以 太 网 的 很 多 传统 ， 但 情况 肯定 会 复杂 得 多 ， 
要 求 使 用 新 的 不 同 的 策略 。 

注意 : 802.11 家 族 

802.11 实 际 上 是 一 系列 标准 的 统称 。 最 初 的 802.11 标 准 (1997) 
支持 在 2.4GHz 频率 范围 内 最 高 速率 2Mbit/s。802.11a 标准 支持 5GHz 
频率 范围 内 最 高 速率 54Mbit/s。802.11b 标准 支持 2.4GHz 频率 范围 内 
传输 速率 5.5Mbit/s 和 11Mbit/s。 最 后 出 现 的 标准 有 802.11g (TE 2003 
年 被 采纳 ) 和 902.11n (2008) o 


1. 独立 网 络 和 基础 网 络 

无 线 网 络 的 最 简单 形式 就 是 两 台 或 多 台 具 有 无 线 网 卡 的 设备 直接 
相互 通信 ( 见 图 9.9) 。 这 种 类 型 的 网 络 的 正式 名 称 为 独立 基本 服务 集 
(独立 BSS 或 1BSS) , 通常 被 称 为 ad hoc 网 络 。 独 立 BSS 对 于 小 范围 
内 少量 计算 机 来 说 就 够 用 了 。 独 立 BSS 的 典型 示例 就 是 外 出 归来 的 笔 
记 本 电脑 暂时 地 与 家 用 计算 机 连 网 ， 通 过 无 线 连 接 传输 文件 。 在 研讨 
会 或 销售 会 议 上 ， 与 会 人 员 通 过 无 线 网 络 共享 信息 ， 就 很 自然 地 形成 
了 独立 BSS 网 络 。 独 立 BSS 网 络 有 一 定局 限 性 ， 因 为 它 主 要 依赖 参 
与 连 网 的 计算 机 ， 没 有 提供 管理 连接 的 基础 设备 ， 也 就 不 能 链接 更 大 
的 网 络 ， 比 如 局 域 网 或 Interneto 

另 一 种 无 线 网 络 被 称 为 基础 基本 服务 集 (基础 BSS) ， 在 公司 网 
络 和 其 他 机 构 是 很 常见 的 ， 而 且 由 于 新 一 代 廉 价 无 线路 由 设备 的 出 
现 ， 它 在 家 庭 和 咖啡 店 环境 中 也 相当 流行 了 。 基 础 BSS 依 赖 于 一 个 被 
称 为 访问 点 (Access Point, AP) 的 固定 设备 与 无 线 设 备 实现 通信 (MW 
图 9.10) 。AP 利 用 无 线 广播 与 无 线 网 络 通信 ， 它 还 通过 传统 连接 方式 
连接 到 普通 以 太 网 。 无 线 设备 通过 AP 进行 通信 。 如 果 一 台 无 线 设 备 想 
与 同一 区 域 中 的 其 他 无 线 设 备 进行 通信 ， 它 把 帧 发 送 给 AP， 让 AP 把 
消息 转发 给 目的 。 对 于 与 传统 网 络 的 通信 ，AP 就 充当 网 桥 的 作用 ， 把 
发 给 传统 网 络 上 设备 的 帧 进行 转发 ， 并 且 把 无 线 网 络 的 通信 隔离 在 无 
线 区 域 中 。 


图 9.9 独立 BSS (ad hoc 2%) 


图 9.10 基础 BSS 包含 一 个 或 多 个 AP 


图 9.10 所 示 的 网 络 让 计算 机 像 在 有 线 以 太 网 络 上 那样 工作 。 而 且 
多 个 访问 点 通过 传统 以 太 网 连接 在 一 起 来 为 较 大 区 域 提供 服务 时 ( 见 
图 9.11) 基础 BSS 的 配置 也 有 很 多 好 处 。 

802.11 的 设计 目标 就 是 满足 图 9.11 所 示 网 络 的 需要 ， 其 理念 是 让 移 
动 设备 在 网 络 服务 区 域 中 漫游 时 保持 连接 。 首 先 要 说 明 的 是 ， 如 果 设 
备 需 要 接收 全 部 网 络 传输 ， 网 络 必须 知道 通过 哪个 AP 能 到 达 该 设 
备 ， 这 当然 要 考虑 到 设备 是 可 移动 的 ， 而 且 适 合 的 AP 也 可 能 在 未 加 
提示 的 情况 下 发 生 改 变 。 另 外 要 说 明 的 是 ， 源 地 址 和 目的 地 址 的 传统 


概念 对 于 在 无 线 网 络 传输 数据 来 说 已 经 不 够 用 了 ，802.11 帧 具有 如 下 4 
种 地 址 。 

> 目的 地 址 : 帧 传输 的 目的 设备 。 

> 源 地 址 : 发 送 帧 的 设备 。 
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图 9.11 具有 多 个 AP 的 基础 BSS 


> 接收 者 地 址 : 应 该 处 理 这 个 802.11 帧 的 无 线 设备 。 如 果 帧 要 传 
输 到 无 线 设 备 ， 接 收 者 地 址 就 与 目的 地 址 是 一 致 的 。 如 果 帧 要 传输 到 
无 线 网 络 之 外 ， 接 收 者 地 址 就 是 某 个 AP 的 地 址 ， 该 AP 会 接收 这 个 帧 
并 且 把 它 转发 到 以 太 网 络 。 

> 发 射 者 地 址 : 把 帧 转发 给 无 线 网 络 的 设备 地 址 。 

802.11 的 帧 格式 如 图 9.12 所 示 ， 其 中 一 些 重要 字段 如 下 所 示 。 

> 帧 控制 : 一 些 较 小 字段 的 集合 ， 描 述 了 协议 版 本 、 帧 类 型 和 解 
释 帧 内 容 所 需 的 其 他 值 。 


> 期 限 /ID: 设置 传输 大 致 应 该 持续 多 长 的 时 间 。 还 可 以 请 求 AP 
缓存 的 帧 。 

> 地 址 字段 : 48 位 的 物理 地 址 。 由 于 802.11 有 时 需要 最 多 4 种 不 
同 的 地 址 ， 所 以 会 根据 不 同类 型 的 帧 使 用 不 同 的 地 址 字段 。 第 1 个 字段 
通常 是 接收 者 地 址 ， 第 2 个 字段 通常 是 发 射 者 地 址 。 

> 序列 控制 : 片段 序号 (用 于 重组 片段 ) 以 及 帧 的 序列 号 。 

> MER: 帧 中 传输 的 数据 。 第 2 章 中 已 经 介绍 过 ， 帧 中 传输 的 
数据 还 包含 上 层 协 议 的 报头 信息 。 

> 帧 校 验 序列 (FCS) : 一 个 循环 元 余 校 验 值 ， 用 于 检查 传输 错 
误 并 验证 帧 在 传输 过 程 中 没有 被 改变 。 


图 9.12 802.11 帧 格式 


由 于 802.11 是 个 网 络 访问 层 的 协议 集 ， 所 以 802.11 帧 中 使 用 的 地 址 
是 48 位 的 物理 地 址 ， 而 不 是 IP 地 址 。 当 设备 在 无 线 网 络 中 移动 时 ， 它 
会 向 最 近 可 用 的 AP 进行 注册 (从 技术 上 讲 ， 它 会 向 信号 最 强 、 干 扰 最 
小 的 AP 注 册 ) 。 这 个 注册 过 程 被 称 为 关联 (association) 。 当 设备 漫 
游 到 另 一 个 访问 点 附近 时 ， 它 会 重新 关联 到 新 的 AP。 这 个 关联 过 程 让 
网 络 能 够 知道 到 达 任 何 一 个 设备 应 该 使 用 哪个 AP。 

注意 : WiFi 联 盟 

为 了 确保 802.11 设备 的 兼容 性 ， 名 为 无 线 以 太 网 兼容 联盟 

(WECA， 成 立 于 1999 年 ) 的 组 织 提供 了 一 个 针对 无 线 产品 的 认证 项 
目 。 该 组 织 后 来 将 其 名 字 命名 为 WiFi 联盟 。 如 果 想 得 到 Wi-Fi (无 线 
FA) 认证 ， 必 须 对 产品 进行 测试 ， 以 验证 它 与 其 他 无 线 设备 之 间 具 
有 互 操作 性 。 有 关 WiFi 联 盟 的 更 多 信息 ， 请 访问 www.wi-if.org。 

2。802.11 安 全 

很 明显 ， 没 有 保护 的 无 线 网 络 是 很 不 安全 的 。 在 对 传统 网 络 进行 
窃听 时 ， 至 少 需要 连接 到 传输 介质 上 。 而 对 于 无 线 网 络 来 说 ， 在 其 广 
播 范围 之 内 都 可 以 进行 攻击 。 如 果 网 络 没有 适当 的 保护 措施 ， 不 仅 容 
易 被 窃听 ， 而 且 很 容易 就 让 非法 用 户 进 入 到 网 络 。 

为 了 解决 这 些 问 题 ，IEEE 制定 了 一 个 可 选 的 安全 协议 标准 用 于 
802.11: 有 线 等 效 保 密 (Wired Equivalent Privacy, WEP) 标准 ， 其 目 
的 是 提供 与 传统 有 线 网 络 大 致 相同 的 保密 级 别 。WEP 的 目标 在 于 解决 
如 下 问题 。 

> 机 密 性 : 防止 窃听 。 


> 完整 性 : 防止 数据 被 自 改 。 

> 身份 验证 : 对 连接 团体 进行 验证 ， 确 保 他 们 有 操作 网 络 的 必要 
权限 。 

WEP 使 用 RC4 算法 进行 加 密 来 实现 机 密 性 和 完整 性 的 目标 。 发 送 
设备 会 生成 一 个 完整 性 校 验 值 (Integrity Check Value, ICV) ， 这 个 值 
是 基于 帧 内 容 进行 标准 计算 而 得 到 的 ， 它 使 用 RC4 算法 进行 加 密 ， 传 
俞 给 接收 方 。 接 收 设备 对 帧 进行 解密 ， 计 算 ICV 的 值 ， 如 果 计 算 后 的 
ICV 值 与 帧 中 传输 的 数值 相同 ， 就 表示 帧 没有 被 修改 。 

然而 ，WEP 受 到 了 安全 专家 们 的 反对 。 大 多 数 专家 认为 WEP 是 无 
效 的 。 有 些 对 于 WEP 的 质疑 实际 上 是 反对 RC4 加 密 算法 的 实现 。WEP 
在 理论 上 使 用 64 位 密 钥 ,但 其 中 24 位 是 用 于 初始 化 的 ， 只 有 40 位 用 作 
共享 密 钥 。 专 家 认为 40 位 的 密 钥 太 短 了 ， 所 以 WEP 不 能 实现 有 效 的 保 
护 。 专 家 还 质疑 密 钥 管理 系统 和 用 于 启动 加 密 的 24 位 初始 化 矢量 。 

WEP2 是 对 WEP 的 升级 ， 把 初始 化 矢量 增加 到 128 位 ， 并 且 使 用 
Kerberos 身 份 验证 来 管理 密 钥 的 使 用 与 分 发 。 然 而 ，WEP2 并 没有 解决 
WEP 的 全 部 问题 ， 因 此 出 现 了 其 他 一 些 协议 ， 比 如 可 扩展 身份 验证 协 
WN (Extensible Authentication Protocol, EAP) ， 可 以 解决 WEP 面 临 的 
难题 。 

作为 一 个 更 好 的 无 线 安 全 协议 ，802.11i 标 准 草案 出 现 于 2004 年 ， 
并 在 2007 被 收入 802.11 标 准 。 这 个 新 方法 也 被 称 为 WiFi 保 护 访问 2 

(WiFi Protected Access II, WPA2) ， 使 用 AES 块 密码 而 不 是 RC4 进 行 
加 密 ， 而 且 具 有 更 安全 的 身份 验证 和 密 钥 分 发 过 程 。WPA2 是 无 线 安 
全 领域 的 一 大 进步 ， 而 且 作 为 无 线 网 络 连接 使 用 的 首选 安全 方法 对 
WEP 进 行 了 替代 。 

很 多 无 线 设 备 还 支持 其 他 安全 方法 ， 例 如 ， 很 多 无 线路 由 器 能 够 
让 我 们 输入 允许 访问 网 络 的 计算 机 的 MAC 地 址 。 这 种 方法 能 够 有 效 
防止 邻居 资 用 我 们 的 带宽 ， 但 有 经 验 的 入 侵 者 能 够 绕 过 这 种 控制 。 


9.5.2 BEJIP 


在 世界 各 地 移动 的 设备 给 应 答 机 制 提出 了 一 个 问题 。Internet 寻 址 
系统 是 分 级 组 织 的 ， 其 前 提 是 目标 设备 位 于 由 IP 地 址 定义 的 网 段 中 。 
由 于 移动 设备 可 能 位 于 任何 一 个 位 置 ， 所 以 通信 规则 就 变 得 复杂 多 
了 。 为 了 维护 一 个 TCP 连 接 ， 设 备 必 须 具 有 固定 的 IP 地 址 ， 这 意味 着 
漫游 设备 不 能 简单 地 使 用 一 个 由 最 近 发 射 者 分 配 的 地 址 。 另 外 ， 由 于 
这 个 问题 与 Internet 寻 址 相关 ， 它 不 能 在 网 络 访问 层 得 以 解决 ， 需 要 对 
网 际 层 的 IP 协 议 进 行 扩展 。 移 动 IPH RRFC 3220 中 定义 ， 之 后 又 进 
行 过 多 次 更 新 ， 最 新 的 IPv4 移 动 标准 是 RFC 5944. 

移动 I[P 给 固定 IP 地 址 关联 上 一 个 辅助 地 址 来 解决 寻 址 问题 。 移 动 
IP 环 境 如 图 9.13 所 示 ， 设 备 具有 属于 家 乡 网 络 (Home Network) 的 固 
定 地 址 。 家 乡 网 络 上 有 一 个 被 称 为 “家 乡 代理 (Home Agent) ”的 专用 
路 由 器 ， 它 维护 一 个 表格 ， 把 设备 的 当前 位 置 与 固定 地 址 绑 定 。 当 设 
备 进入 到 一 个 新 网 络 时 ， 它 将 注册 到 该 网 络 中 运行 的 外 地 代理 
(Foreign Agent) 中 。 外 地 代理 就 把 移动 设备 添加 到 访问 者 列表 ， 并 
且 把 设备 当前 位 置 的 信息 发 送 给 家 乡 代 理 ， 家 乡 代理 就 会 用 设备 的 当 
前 位 置信 息 更 新 自己 的 移动 性 绑 定 表 。 当 发 往 这 人 台 设 备 的 数据 报到 达 
家 乡 网 络 时 ， 它 被 封装 到 一 个 目标 为 外 地 网 络 的 数据 包 中 ， 最 终 到 达 
该 设备 。 


o a” ua” a” a” a” a” ca” a” “a” 


外 地 
代理 


访问 者 
列表 


图 9.13 移动 IP 提供 了 将 数据 报 发 送 到 移动 设备 的 方法 


9.5.3 Ko 

蓝牙 协议 体系 是 无 线 设备 的 男 一 种 规 泌 ， 现 在 已 经 相当 流行 。 监 
牙 最 初 由 Ericsson 公 司 开 发 ， 之 后 其 他 一 些 公司 (包括 Intel 和 IBM) 也 
参与 到 它 的 开发 中 。 与 802.11 一 样 ， 蓝 牙 标 准 定 义 了 OSI 模型 中 数据 链 
路 层 和 物理 层 (等 效 于 TCP/IP 网 络 访问 层 ) 。 赣 牙 注 册 商 标 由 蓝牙 特 
别 兴趣 小 组 (Special Interest Group, SIG) 持 有 。 

里 然 蓝 牙 标准 经 常用 于 像 耳 机 、 无 线 键盘 这 样 的 外 围 设备 ， 但 在 
某 些 情况 下 也 可 以 代替 802.11， 而 且 蓝 牙 的 支持 者 总 是 很 愿意 表明 蓝 
牙 没 有 802.11 的 一 些 安全 问题 ， 然 而 蓝牙 和 802.11 被 看 做 是 互补 技 
术 。802.11 是 为 了 提供 与 以 太 网 等 同 的 无 线 网 络 ， 而 蓝牙 致力 于 在 短 
距离 范围 (10 米 ) 之 内 为 无 线 设 备 提 供 可 靠 的 、 高 性 能 环境 。 蓝 牙 的 
设计 目标 是 实现 一 个 小 工作 区 域内 一 组 无 线 交 互 设 备 的 通信 。 在 蓝 
的 规范 中 ， 这 个 小 区 域 被 称 为 个 域 网 (Personal Area Network, 
PAN) o 

像 其 他 无 线形 式 一 样 ， 蓝 牙 使 用 AP 把 无 线 网 络 连接 到 传统 网 络 
(在 蓝牙 术语 中 ， 这 个 AP 被 称 为 “网 络 AP” 或 NAP) o BARR MN RE 
够 对 进行 TCP/IP 数 据 包 进行 封装 ， 从 而 在 蓝牙 网 络 进行 传输 。 

当然 ， 如 果 一 个 蓝牙 设备 可 以 通过 Internet 访 问 ， 则 它 必须 能 够 通 
过 TCP/IP 访 问 。 厂 商 预 想 生 产 一 类 兼容 Internet 的 蓝牙 设备 ， 通 过 具有 
蓝牙 功能 的 Internet 网 桥 连 接 到 Internet ( 见 图 9.14) ©. EFNAPRE&F 
当 网 桥 ， 接 收 输入 的 TCP/IP 数 据 ， 然 后 用 蓝牙 网 络 访问 协议 替换 输入 
的 网 络 访问 层 协 议 ， 从 而 把 数据 传输 到 接收 设备 。 


n 
远程 计算 
机 或 设备 


监 牙 设备 


图 9.14 具有 蓝牙 功能 的 Pnternet 网 桥 


ER: 为 什么 称 之 为 “蓝牙 ” 

很 多 人 都 很 高 兴 监 牙 技术 的 创建 者 没有 使 用 什么 缩写 作为 它 的 名 
称 ， 但 为 什么 会 使 用 蓝牙 这 个 名 称 呢 ? 因 为 它 会 处 理 数据 ? ANCE 
用 字 节 ? 不 要 再 费 脑筋 想 什 么 隐 含 意义 了 。 监 牙 的 名 称 源 自 于 Viking 
King Harald Bluetooth，11 世 纪 丹 麦 和 挪威 的 统治 者 ， 他 在 观看 了 德国 
牧师 成 功 完 成 奇迹 般 的 挑战 之 后 信 了 基督 教 。 

Harald Bluetooth 很 受 爱 戴 ， 但 他 是 很 专制 的 。 他 似乎 是 William 
Te11 传 奇 中 一 个 反面 角色 的 原型 ， 让 一 个 臣民 射击 其 儿子 关上 的 一 个 
苹果 。 神 射手 答应 进行 射击 ， 但 也 声明 ， 如 果 失 手 了 ， 他 会 在 
Bluetooth 的 心 宽 里 射 三 支 箭 。 当 我 们 进入 无 线 殿堂 时 ， 和 希望 受 新 
Bluetooth 统 治 的 设备 可 不 要 具有 这 种 复仇 的 倾向 。 


9.6 连接 设备 


前 面 主要 介绍 了 TCP/IP 网 络 中 与 路 由 器 相关 的 重要 主题 ， 虽 然 路 
由 器 是 非常 重要 和 基础 的 概念 ， 但 TCP/IP 网 络 上 还 其 他 很 多 连接 设 
备 。 

各 种 各 样 的 连接 设备 都 在 TCP/IP 网 络 流量 管理 中 扮演 不 同 的 角 
色 ， 下 面 将 分 别 介绍 网 桥 、HUB 和 交换 机 。 


9.6.1 网 桥 


网 桥 是 根据 物理 地 址 过 滤 和 转发 数据 包 的 连接 设备 ， 它 工作 于 
OSI 模 型 的 数据 链 路 层 (对 应 于 TCP/IP 网 络 的 网 络 访问 层 ) 。 近 些 年 
来 ， 网 络 倾向 于 使 用 功能 更 强 的 设备 ， 比 如 交换 机 ， 所 以 网 桥 的 使 用 
越 来 越 少 。 但 网 桥 的 简单 性 恰好 适合 作为 讨论 连接 设备 的 出 发 点 。 

虽然 网 桥 不 是 路 由 器 ， 但 仍然 使 用 一 个 路 由 表 作 为 传输 信息 的 根 
据 。 这 个 基于 物理 地 址 的 路 由 表 与 后 面 要 介绍 的 路 由 表 相 比 ， 不 仅 具 
有 不 同 的 形式 ， 而 且 也 简单 得 多 。 

网 桥 监听 它 所 连接 的 每 个 网 段 ， 建 立 一 个 表 来 反映 物理 地 址 位 于 
哪个 网 段 。 当 数据 在 一 个 网 段 上 传输 时 ， 网 桥 会 查看 数据 的 目的 地 
址 ,与 路 由 表 进 行 比较 。 如 果 目 的 地 址 属于 发 送 数 据 的 网 段 ， 网 桥 束 
忽略 这 个 数据 。 如 果 目 的 地 址 在 不 同 的 网 段 ， 网 桥 就 把 数据 转发 到 适 
当 的 网 段 。 如 果 目 的 地 址 不 在 路 由 表 中 ， 网 桥 就 会 把 数据 转发 到 除 源 
网 段 之 外 的 全 部 网 段 。 

ER: 网 路 地 址 vs 逻辑 地 址 

要 记 住 ， 网 桥 使 用 的 基于 硬件 的 物理 地 址 与 逻辑 IP 地 址 不 同 。 这 
两 者 之 间 的 区 别 ， 请 见 第 1 一 第 4 章 。 

网 桥 曾经 作为 局 域 网 上 过 滤 流 量 的 一 种 廉价 设备 大 量 使 用 ， 用 于 
增加 网 络 上 能 够 容纳 的 计算 机 数量 。 前 面 已 经 介绍 过 ， 现 在 一 些 网 络 
访问 设备 都 集成 了 网 桥 的 功能 ， 比 如 电线 调制 解 调 器 和 荣 芋 DSL 设 
备 。 由 于 网 桥 只 使 用 网 络 访问 层 的 物理 地 址 ， 不 检查 IP 数 据 报头 中 的 
逻辑 地 址 信息 ， 所 以 不 适合 连接 非 同类 网 络 。 网 桥 也 不 能 用 于 在 大 型 
网 络 (比如 Internet) 上 实现 数据 转发 的 IP 路 由 和 传输 方案 。 


9.6.2 HUB 


在 以 太 网 出 现 的 早期 ， 大 多 数 网 络 的 连接 方式 是 用 一 条 连续 的 同 
轴 电 缆 把 计算 机 连接 起 来 。 然 而 ， 在 随后 几 年 ， 工 程 师 看 到 了 使 用 中 
心 设 备 将 计算 机 连接 在 一 起 所 具有 的 优势 ( 见 图 9.15) o 

在 第 3 章 讲 到 ， 经 典 的 以 太 网 概念 是 让 全 部 计算 机 共享 传输 介质 。 
每 次 传输 都 会 被 全 部 网 络 适 配器 监听 。 以 太 网 HUB 作为 一 个 物理 设 
备 从 一 个 端口 接收 数据 ， 然 后 把 数据 重复 到 其 余 全 部 端口 ( 见 图 
9.15) 。 换 句 话说 ， 全 部 计算 机 就 好 像 是 被 一 条 连续 线路 连接 在 一 起 
的 。HUB 不 会 过 滤 或 路 由 任何 数据 ， 只 是 接收 和 重新 发 送信 号 。 

基于 HUB 的 以 太 网 兴起 的 主要 原因 之 一 是 HUB 简 化 了 布线 。 每 台 
计算 机 都 通过 一 条 线路 连接 到 HUB， 可 以 方便 地 中 断 连 接 和 重新 连 
接 。 在 一 般 办 公 环 境 中 ， 计 算 机 通常 集中 在 一 个 较 小 的 区 域 ， 这 时 使 
用 一 个 HUB 就 可 以 为 一 组 距离 很 近 的 计算 机 提供 服务 ， 然 后 再 连接 
到 网 络 其 他 部 分 的 HUB。 这 种 把 电缆 都 连接 到 一 台 设 备 的 方式 让 厂家 
迅速 意识 到 创新 的 机 会 ， 于 是 出 现 了 更 复杂 的 HUB， 即 所 谓 的 智能 
HUB。 它 具有 额外 的 特性 ， 比 如 能 够 检测 线路 故障 和 关闭 端口 。 现 
在 ，HUB 基 本 上 已 经 被 交换 机 取代 了 。 


图 9.15 基于 HUB 的 以 太 网 


9.6.3 交换 机 

基于 HUB 的 以 太 网 仍然 面临 着 传统 以 太 网 的 主要 问题 : 性 能 
着 流量 的 上 升 而 下 降 。 只 有 当 线 路 空 册 时 ， 计 算 机 才能 进行 传输 ; 而 
上 且 每 个 网 络 适 配器 都 必须 接收 和 处 理 网 络 上 的 每 个 帧 。 为 了 解决 这 些 
问题 ， 比 HUB 更 智能 的 设备 一 一 交换 机 一 一 出 现 了 。 在 其 最 基本 形 
式 下 ， 交 换 机 类 似 于 图 9.15 中 所 示 的 HUB， 每 台 计 算 机 也 是 通过 一 
条 绪 路 连接 到 交换 机 。 但 是 ， 交 换 机 知道 应 该 把 接收 到 的 数据 发 送 到 
哪 一 个 端口 。 大 多 数 交 换 机 把 端口 与 所 连接 设 配 器 的 物理 地 址 关联 起 
来 〈 见 图 9.16) 。 当 一 个 端口 所 连接 的 计算 机 发 送 数据 由 时， 交换机 
会 查看 帧 的 目的 地 址 ， 把 帧 发 送 到 与 目的 地 址 相关 联 的 端口 。 换 句 话 
说 ， 交 换 机 只 向 应 该 接收 数据 的 适配器 发 送 数据 帧 。 这 样 一 来 ， 每 个 
适配器 就 不 必 查看 网 络 上 传输 的 全 部 帧 。 因 此 ， 交 换 机 减少 了 多 余 的 
传输 ， 从 而 改善 了 网 络 性 能 。 
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图 9.16 交换 机 将 每 个 端口 与 物理 地 址 关联 起 来 


注意 ， 前 面 描述 的 1 类 交换 机 只 操作 物理 地 址 ， 不 处 理 IP 地 址 。 交 
换 机 不 是 路 由 器 ， 实 际 上 它 更 像 网 桥 ， 准 确 地 说 是 更 像 多 个 网 桥 结合 
在 一 起 。 交 换 机 对 每 个 网 络 连接 进行 隔离 ， 从 而 只 让 针对 特定 计算 机 
的 数据 进入 特定 线路 〈 见 图 9.17) o 

现在 的 交换 方式 有 多 种 ， 最 常见 的 两 种 交换 方法 如 下 所 示 。 

> HER: 交换 机 一 获得 目的 地 址 就 转发 帧 。 


计算 机 O 


计算 机 D 


REJA 只 来 自 D 


ARB A 只 到 D 


图 9.17 交换 机 通过 隔离 每 台 计 算 机 来 减少 流量 


> 存储 转发 : 交换 机 在 转发 之 前 接收 整个 帧 。 这 种 方法 会 减缓 转 
发 过 程 ， 但 有 时 可 以 改善 整体 性 能 ， 因 为 可 以 过 滤 出 碎片 和 其 他 无 效 
的 帧 。 

交换 在 近年 来 变 得 非常 流行 。 公 司 局 域 网 通常 会 使 用 分 层 式 的 交 
换 机 和 互 连 式 的 交换 机 来 优化 性 能 。 

注意 : 交换 机 和 分 层 

有 些 厂商 现在 把 前 面 介 绍 这 种 基础 交换 机 概念 看 做 是 一 个 更 大 类 
别 交 换 设 备 的 一 种 特例 。 更 复杂 的 交换 机 工作 于 更 高 的 协议 层 ， 能 够 
根据 各 种 参数 决定 如 何 转发 。 在 这 种 更 通用 的 交换 方法 中 ， 设 备 根 据 
其 工作 的 OSI 协议 层 进行 分 类 。 前 面 介 绍 的 基本 交换 机 工作 于 OSI 模型 
的 数据 链 路 层 ， 被 称 为 第 2 层 交 换 机 。 根 据 耻 地址 信息 进行 转发 的 交换 
机 工作 于 OSI 模型 的 网 络 层 ， 被 称 为 第 3 层 交 换 机 (显然 ， 第 3 层 交 换 
基本 上 就 是 某 种 路 由 器 了 ) 。 如 果 本 节 没 有 明确 说 明 交 换 机 是 工作 于 


哪 一 层 的 ， 它 一 般 就 是 工作 于 第 2 层 的 ， 根 据 物理 (MAC) 地 址 进行 
Wilko 


9.7 小 结 


本 章 介绍 了 连接 Internet 或 其 他 大 型 网 络 的 一 些 不 同 的 技术 ， 介 
绍 了 调制 解 调 器 、 点 到 点 连接 、 主 机 拨号 访问 ， 还 讨论 了 一 些 流行 的 
宽带 技术 ， 比 如 电缆 连 网 和 DSL， 以 及 WAN 技 术 。 本 章 还 讨论 了 一 
些 重要 的 无 线 网 络 协议 ， 介 绍 了 TCP/IP 网 络 上 常用 的 一 些 连 接 设 备 。 


9.8 问 与 答 


问 : SLIP 和 PPP 为 什么 不 需要 像 以 太 网 那样 使 用 完整 的 物理 寻 址 
系统 ? 

=: 在 点 到 点 连接 中 ， 参 与 连接 的 两 台 计 算 机 就 位 于 线路 的 两 
端 ， 所 以 不 需要 像 以 太 网 那样 的 复杂 物理 寻 址 系统 。 但 是 ，SLIP 和 
PPP 完 全 支持 使 用 IP 或 其 他 网 络 层 协 议 的 逻辑 寻 址 。 

问 : 我 的 电缆 调制 解 调 器 每 天 同一 时 间 都 会 变 得 很 慢 ， 这 是 为 什 
么 ? 如 何 解决 ? 

答 : 电缆 调制 解 调 器 与 其 他 设备 共享 传输 介质 ， 在 线路 使 用 率 高 
时 性 能 就 会 下 降 。 除 非 能 够 连接 到 其 他 网 段 (基本 上 是 不 可 能 的 ) ， 
否则 使 用 电缆 调制 解 调 器 就 只 能 这 样 了 。 可 以 党 试 使 用 其 他 服务 ， 比 
如 DSL， 它 能 提供 更 稳定 的 服务 质量 。 从 整体 上 来 说 ，DSL 并 不 比 电 
线 快 ， 这 取决 于 服务 的 细节 、 本 地 的 流量 水 平和 服务 提供 商 。 

问 : 移动 设备 为 什么 要 关联 (注册 ) 到 AP? 

E: 来 自传 统 网 络 的 帧 被 AP 转发 到 所 关联 的 移动 设备 。 通 过 与 
AP 建立 关联 ， 设 备 就 告诉 了 网 络 应 该 把 发 给 自己 的 帧 送 到 哪个 AP。 


9.9 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


9.9.1 问题 
1. 用 来 在 电话 线 上 传输 IP 数 据 报 而 且 占 据 主导 地 位 的 协议 是 什 


2 
2. 说 出 两 种 可 以 在 家 庭 中 使 用 并 且 基 于 陆 上 线路 (land-line) 的 
宽带 技术 。 
3. 说 出 4 种 WAN 技 术 。 
4. 独立 BSS 无 线 网 络 的 另外 一 个 名 字 是 什么 ? 
5. HUB 与 交换 机 的 区 别 是 什么 ? 


N 


9.9.2 练习 

1. 列 出 拨号 连接 的 一 些 不 足 。 

2. 如 果 你 可 以 访问 DSL 和 电线 调制 解 调 器 网 络 ， 请 都 试 一 下 ， 然 
后 感受 它们 的 性 能 是 否 有 差别 。 

3. 如 果 你 的 计算 机 支持 WiFi， 请 找 出 它 使 用 的 哪 一 种 802.11 协 
议 。 

4. 如 果 可 以 连接 到 WiFi 网 络 ， 请 比较 它 与 无 线 网 络 (比如 以 太 
网 ) 的 性 能 差异 。 

5. 调查 交换 机 和 HUB 的 价格 。 基 于 你 的 调查 结果 和 本 章 学 到 的 
知识 ， 来 决定 在 小 型 家 庭 网 络 中 应 该 使 用 哪 一 种 设备 。 
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复习 下 列 关键 术语 : 

> 802.11: 无 线 通 信 的 协议 集 ， 位 于 TCP/IP 协 议 栈 的 网 络 访问 
层 ， 对 应 于 OSI 模 型 的 数据 链 路 层 和 物理 层 。 

> AP: 连接 无 线 网 络 与 传统 网 络 的 设备 ， 其 行为 类 似 于 网 桥 ， 
在 无 线 网 络 与 传统 的 以 太 网 络 之 间 转 发 帧 。 

关联 : 无 线 设备 把 自己 注册 到 最 近 AP 的 过 程 。 

> 蓝牙 : 近 距 离 无 线 器 件 和 设备 使 用 的 协议 体系 。 

> 网 桥 : 根据 物理 地 址 进行 数据 转发 的 连接 设备 。 

> 电缆 调制 解 调 器 终端 系统 (CMTS) : 电缆 调制 解 调 器 连接 到 
提供 商 网 络 的 接口 设备 。 

> 直通 交换 : 一 种 交换 方式 ， 交 换 机 只 要 一 获得 目的 地 址 开始 就 
转发 帧 。 

> 基于 电缆 服务 的 数字 接口 规范 (DOCSIS) : 电缆 调制 解 调 器 
网 络 的 一 种 规范 。 

> 数字 用 户 线路 (DSL) : 基于 电话 线路 的 一 种 宽带 连接 方式 。 

> 数字 服务 线路 访问 多 路 复 用 器 (DSLAM) : D5SL 连 接 与 提供 
商 网 络 的 接口 设备 。 

> HUB: 用 于 连接 网 络 电缆 而 构成 一 个 网 段 的 设备 。HUB 一 般 
不 过 滤 数据 ， 只 是 把 接收 到 的 帧 转发 到 全 部 端口 。 一 度 很 常见 的 HUB 
如 今 已 经 被 交换 机 取代 ， 但 是 要 想 理解 LAN 连 网 设备 的 演进 ，HUB 相 
关 的 知识 还 是 必 不 可 少 的 。 

> 独立 基本 服务 集 (独立 BSS 或 I[BSS) : 无 线 网 络 的 一 种 形式 ， 
通信 的 设备 相互 之 间 直 接连 接 (也 被 称 为 ad hoc 网 络 ) o 

> 基础 基本 服务 集 (基础 BSS) : 无 线 网 络 的 一 种 形式 ， 无 线 设 
备 通过 连接 到 传统 网 络 的 一 个 或 多 个 AP 进行 通信 。 


> 智能 HUB: 能 够 执行 额外 任务 的 HUB， 比 如 在 检测 到 线路 故 


障 时 关闭 接口 。 
> 链 路 控制 协议 (LCP) : PPP 用 于 建立 、 管 理 和 终止 拨号 连接 
的 协议 。 


> 移动 IP: 一 种 IP 寻 址 系统 ， 用 于 支持 移动 的 设备 。 

> 调制 解 调 器 : 实现 数字 信号 与 模拟 信号 转换 的 一 种 设备 。 

> 网 络 控制 协议 (NCP) : PPP 与 特定 协议 簇 交 互 所 用 的 一 组 协 
Wo 

> 点 到 点 连接 : 仅 由 两 个 共享 传输 介质 的 通信 设备 组 成 的 连接 。 

> 点 到 点 协议 (PPP) : 一 种 拨号 协议 。PPP 支 持 TCP/IP 和 其 他 
网 络 协议 禾 ， 它 比 SLIP 更 新 、 更 强大 。 

> 串 行 线路 接口 协议 (SLIP) : 早期 的 基于 TCP/IP 的 拨号 协 
Wo 

> 存储 转发 交换 : 一 种 交换 方式 ， 交 换 机 会 先 接收 整个 帧 ， 然 后 
再 转发 。 

> 交换 机 : 一 种 连接 设备 ， 它 能 够 掌握 与 每 个 端口 相关 联 的 地 
址 ， 把 接收 到 的 数据 转发 到 相应 的 端口 。 交 换 机 能 够 根据 封装 在 协议 
栈 报头 中 的 多 个 参数 来 决定 如 何 转 发 数据 。 

> 广域网 (WAN) : 一 些 技术 的 集合 ， 用 于 在 长 距离 上 提供 相 
对 快速 和 高 带宽 的 连接 。 

> WiFi 保护 访问 2 (WPA2) : 一 种 高 级 的 无 线 安全 标准 ， 在 很 
大 程度 上 已 经 取代 了 WEP。WPA2 使 用 AES 块 密码 来 加 密 。 

> 有 线 等 效 保 密 (WEP) : 802.11 无 线 网 络 的 一 种 安全 标准 。 
WEP 现 在 已 经 被 废弃 。 


第 10 章 名 称 解析 


本 章 介绍 如 下 内 容 : 
> 主机 名 解析 ; 
> DNS; 
> DNSSEC; 
> 动态 NDS ; 
> NetBIOS. 
在 第 2 章 中 ， 我 们 学 习 了 名 称 解 析 ， 这 是 一 种 强大 的 技术 ， 通 过 这 
种 技术 ， 能 够 用 字母 数字 形式 的 名 称 来 表示 32 位 的 IP 地 址 。 名 称 解析 
的 过 程 是 首先 接受 一 个 计算 机 的 名 称 ， 接 着 再 将 这 个 名 称 解 析 成 相应 
的 IP 地址 。 在 本 章 中 ， 将 会 介绍 主机 名 ， 域 名 和 完全 限定 域名 (Fully 
Qualified Domain Name, FQDN) 。 此 外 ， 还 可 学 习 到 在 Microsoft 的 
网 络 中 经 常 被 用 到 的 另 一 种 名 称 解 析 系 统 
学 完 本 章 后 ， 你 可 以 : 
> 解释 名 称 解析 是 如 何 工作 的 ，; 
> 解释 主机 名 、 域 名 和 FQDN 的 区 别 ; 
> 描述 主机 名 解析 ; 
> 描述 DNS 名 称 解 析 ; 
> 描述 NetBIOS 名 称 解 析 。 


NetBIOS. 


10.1 什么 是 名 称 解析 


在 TCP/IP 网 络 出 现 的 早期 ， 用 户 很 快 就 认识 到 ， 如 果 要 记 住 网 络 
上 每 台 计 算 机 的 IP 地 址 是 相当 麻烦 和 低 效 的 。 研 究 中 心 的 研究 人 员 通 
常 很 忆 ， 以 至 于 他 们 无 法 记 住 6 楼 的 计算 机 A 的 耳 地 址 是 100.12.8.14 还 
是 100.12.8.18。 程 序 员 开 始 考 虑 是 否 可 以 为 每 一 台 计 算 机 分 配 一 个 便 
于 记忆 的 描述 性 名 字 ， 并 可 以 让 网 络 上 的 计算 机 将 这 个 地 址 关联 到 IP 
地 址 。 

主机 名 系统 是 在 TCP/IP 早期 开发 的 一 种 简单 的 名 称 解 析 系 统 。 在 
这 个 系统 中 ， 每 台 计 算 机 都 有 一 个 用 字母 数字 形式 表示 的 名 称 ， 这 个 
名 称 被 称 为 主机 名 。 如 果 操 作 系 统 需要 从 字母 名 称 得 到 了 P 地 址 ， 会 查 
询 主 机 文件 〈 见 图 10.1) 。 主 机 文件 中 包含 了 主机 名 和 相关 IP 地 址 的 
列表 。 如 果 名 称 在 主机 名 列表 中 ， 就 读 取 与 之 关联 的 IP 地 址 。 接 着 ， 
将 命令 中 的 主机 名 替换 成 相应 的 IP 地 址 ， 最 后 才 执 行 命令 。 


主机 : BobPC 主机 : EdPC 主机 : BridgetPC 
IP: 192.134.14.6 IP: 192.134.14.8 IP: 192.134.14.10 


= = 


= 


i ? 
— Bridget PC? 


ee 7 192.134.14.6 BobPC 


192.134.148  EdPC 
192.134.14.10 | 192.134.14.10  BridgetPC 


图 10.1 主机 名 解析 


在 小 型 本 地 网 络 中 ， 主 机 文件 系统 可 以 很 好 地 工作 。 然 而 ， 对 于 
大 型 网 络 ， 这 种 系统 会 变 得 没有 效率 。 主 机 和 IP 地 址 的 关联 被 保存 在 
一 个 文件 中 ， 当 文件 变 大 后 ， 搜 索 文件 的 效率 就 会 变 低 。 在 ARPAnet 
时 期 ， 是 通过 一 个 名 为 hosts.txt 的 文件 来 保存 名 称 与 地 址 关联 的 ， 本 地 
网 络 管理 员 必 须 不 断 地 更 新 这 个 文件 。 另 外 ， 主 机 名 称 空间 从 本 质 上 
来 讲 是 扁平 的 ， 由 于 所 有 的 节点 都 是 平等 的 ， 因 此 名 称 解 析 系 统 无 法 
利用 IP 地 址 空间 高 效率 的 层次 结构 。 

即使 ARPAnet 的 工程 师 们 能 够 解决 这 这 些 问题 ， 在 拥有 几 百 万 个 
节点 的 巨型 网 络 (例如 Internet) 中 ， 主 机 文件 系统 也 不 可 能 很 好 地 工 
作 。 工 程 师 们 知道 他 们 需要 一 种 具有 层次 的 名 称 解析 系统 ， 这 种 系统 
必须 能 够 完成 以 下 工作 。 


> 将 名 称 解析 的 工作 分 配给 一 组 专用 的 名 称 解析 服务 器 。 名 称 解 
析 服 务 器 维护 定义 了 名 称 以 及 关联 IP 地 址 的 列表 。 
> 将 本 地 名 称 解 析 的 权利 授予 本 地 管理 员 。 换 句 话说 ， 就 是 不 再 
有 一 个 中 心 掌握 了 所 有 名 称 (地 址 对 ); ， 而 是 让 网 络 A 中 的 管理 员 负 
责 网 络 A 的 名 称 解 析 ， 网 络 B 的 管理 员 管 理 网 络 B 的 名 称 解 析 。 通 过 这 
种 方法 ， 对 某 个 网 络 的 变化 负 有 管理 责任 的 人 员 同 时 也 就 能 够 使 得 这 
些 变 化 及 时 反映 到 名 称 解 析 体 系 结构 中 。 
根据 这 些 要 求 ， 开 发 出 了 域名 系统 (Domain Name System, 
DNS) 。DNS 是 Intemet 上 使 用 的 名 称 解 析 方 法 ， 是 Internet 名 称 (比如 
www.unixreview.comAlwww.slashdot.org) 的 通用 命名 根据 。 在 本 章 的 
后 面部 分 会 介绍 ，DNS 将 名 称 空间 分 隔 成 了 具有 层次 的 实体 ， 这 些 实 
体 称 为 域名 。 域 名 可 以 包含 主机 名 ， 这 种 域名 被 称 为 完全 限定 域名 ( 
FQDN) 。 例 如 ， 在 域 whitehouse.gov 中 主机 名 为 maybe 的 计算 机 ， 其 
FQDN 就 是 maybe.whitehouse.govo 
随 着 时 间 的 推移 ，DNS 系统 也 在 持续 发 展 ，DNS 现在 可 以 提供 更 
好 的 安全 、 动 态 地 址 映射 和 自动 发 现 等 功能 选项 。 本 章 将 会 描述 主机 
名 解析 和 DNS 名 称 解 析 ， 还 会 介绍 另 一 种 在 Microsoft 网 络 中 常用 的 名 
称 解析 系统 一 一 NetBIOS。 


10.2 使 用 主机 文件 进行 名 称 解析 


本 章 前 面 讲 到 ， 主 机 文件 是 一 个 保存 有 一 个 主机 名 、 相 关 IP 地 址 
列表 的 文件 。 主 机 名 解析 是 在 更 复杂 的 DNS 名 称 解 析 之 前 被 开发 出 来 
的 。 虽 然 在 当今 的 环境 中 ， 由 于 存在 更 新 和 更 复杂 的 名 称 解 析 方 法 ， 
主机 文件 变 得 有 些 不 合 时 宜 。 但 是 ， 要 想 讨论 名 称 解 析 ， 这 种 旧 的 技 
术 是 一 个 很 好 的 起 后。 

在 小 型 网 络 上 配置 主机 名 解析 通常 很 简单 作 。 支 持 TCP/IP 的 操作 
系统 都 能 识别 主机 文件 ， 并 可 以 将 它 用 于 名 称 解析 ， 而 且 期 间 几 乎 不 
需要 用 户 干预 。 根 据 实现 的 不 同 ， 配 置 主机 名 称 解 析 的 细节 也 有 所 不 
同 。 大 概 的 步骤 如 下 所 示 。 

1. 为 每 台 计 算 机 分 配 卫 地 址 和 主机 名 。 

2. 创建 映射 了 了 地 址 和 所 有 计算 机 主机 名 的 主机 文件 。 这 些 文件 
的 名 称 一 般 是 hosts， 有 些 则 使 用 hosts.txt 作 为 文件 名 。 

3. 将 主机 文件 放置 每 台 计 算 机 的 指定 位 置 上 。 对 于 具体 位 置 ， 每 
种 操作 系统 都 有 目 己 的 规定 。 

主机 文件 中 保存 了 需要 与 本 机 通信 的 主机 信息 ， 在 这 个 文件 中 可 
以 输入 IP 地 址 以 及 与 之 相关 的 主机 名 、FQDN 或 其 他 静态 别名 。 A 
外 ， 主 机 文件 中 还 保存 了 一 个 环 回 地 址 条 目 127.0.0.1。 这 个 环 回 地 址 
主要 用 于 TCP/IP 诊 断 并 表示 “本 机 ”。 

下 面 就 是 一 个 主机 文件 的 例子 (系统 的 IP 地 址 位 于 左 侧 ， 随 后 是 
主机 名 和 关于 本 条 目的 一 些 可 选 说 明 ) : 

127.0.0.1 localhost #this machine 

198.1.14.2 bobscomputer #Bob's workstation 

198.1.14.128 r4downtown #gateway 

当 计算 机 上 的 应 用 程序 需要 将 名 称 解析 为 卫 地 址 时 ， 系 统 会 首先 
将 这 个 名 称 与 本 机 的 名 称 比 较 。 如 果 不 匹配 ， 系 统 会 查看 主机 文件 


REE) ， 和 寻找 其 中 是 否 列 有 这 个 计算 机 的 名 称 。 

如 果 找 到 了 匹配 的 名 称 ， 就 将 IP 地 址 发 向 本 地 计算 机 ， 然 后 使 用 
ARP 来 获得 其 他 系统 的 硬件 地 址 。 接 下 来 就 两 台 计 算 机 就 可 以 进行 通 
lafe 

如 果 将 主机 文件 用 于 名 称 解 析 ， 那 么 每 当 网 络 变化 时 ， 都 必须 编 
辑 或 替代 每 一 台 计 算 机 上 的 主机 文件 。 有 很 多 文本 编辑 器 都 可 以 用 来 
编辑 主机 文件 。 在 UNIX 或 Linux 系 统 上 ， 可 以 使 用 vi、Pico 或 Emacs， 
在 Windows 系 统 上 可 以 使 用 Notepad。 有 些 系 统 还 提供 TCP/IP 配 置 工 
具 ， 作 为 配置 主机 文件 的 用 户 接口 。 

在 创建 或 编辑 主机 文件 时 ， 需 要 记 住 下 面 几 个 关键 点 。 

> IP 地 址 必须 在 最 左边 ， 并 且 必 须 用 一 个 或 多 个 空格 将 其 与 主机 
名 隔 开 。 

> 名 称 必须 用 至 少 一 个 空格 分 隔 开 。 

> 一 行 中 的 其 他 名 称 是 第 一 个 名 称 的 别名 。 

> 文件 的 解析 〈 即 计算 机 的 读 取 顺 序 ) 是 从 头 至 尾 进 行 的 。 只 有 
第 一 个 与 名 称 匹配 的 IP 地 址 才 会 被 使 用 。 当 有 匹配 的 名 称 出 现时 ， 解 
析 就 会 停止 。 

因为 解析 是 从 头 至 尾 进 行 的 ， 所 以 应 该 将 最 常用 的 名 称 放 在 列 
表 的 前 面 ， 这 样 可 以 加 快 名 称 解析 的 过 程 。 

> # 符 写 的 右 侧 可 以 放置 注释 。 

> 记 住 ， 主 机 文件 是 静态 的 ; 当 IP 地 址 改变 时 ， 必 须 手动 修改 这 
个 文件 。 

> 尽管 在 主机 文件 中 允许 出 现 FQDN， 但 是 在 主机 文件 中 使 用 它 
们 可 能 导致 一 些 管理 员 很 难 诊断 的 问题 。 控 制 主机 文件 的 本 地 管理 员 
无 法 控制 远程 网 络 上 的 IP 地 址 和 主机 名 的 分 配 。 因 此 ， 如 果 远 程 网 络 
上 的 服务 器 被 分 配 了 一 个 新 的 了 地址 ， 而 本 地 主机 文件 中 的 FQDN 又 
没有 更 新 ， 主 机 文件 会 继续 指向 旧 的 IP 地 址 。 


对 小 型 的 、 独 立 的 TCP/IP 网 络 来 说 ， 主 机 文件 是 一 种 高 效 且 简单 
的 名 称 解析 方法 。 当 然 ， 现 在 所 谓 独立 的 网 络 已 经 越 来 越 少 了 。 由 于 
Windows、Mac 和 其 他 操作 系统 为 小 规模 的 网 络 提供 了 更 多 的 自动 化 
技术 ， 因 此 使 用 主机 文件 并 不 是 必须 的 。 大 型 网 络 则 依靠 DNS 来 完成 
名 称 解析 。 


10.3 DNS 名 称 解析 


DNS 的 设计 者 们 希望 避免 在 每 台 计 算 机 上 不 断 地 更 新 名 称 解析 文 
件 这 种 情况 。DNS 会 将 名 称 解 析 数 据 放置 在 一 个 或 多 个 专用 的 服务 器 
上 ， 由 DNS 服务 器 为 网 络 提供 名 称 解 析 服 务 ( 见 图 10.2) 。 如 果 网 络 
上 的 计算 机 需要 将 某 个 主机 名 解析 成 了 地址， 会 向 服务 器 发 送 一 个 碍 
询 ， 询 问 与 这 个 地 址 关联 的 主机 名 。 如 果 DNS 服 务 器 保存 了 相应 的 地 
址 ， 融 将 这 个 地 址 返回 给 发 出 请 求 的 计算 机 。 接 下 来 ， 这 人 台 计 算 机 会 
用 IP 地 址 来 替代 主机 名 ， 进 而 再 执行 命令 。 当 网 络 上 出 现 的 变化 时 
(例如 有 了 一 台新 计算 机 或 这 更 改 了 一 个 主机 名 ) ， 网 络 管理 员 只 需 
要 修改 一 次 DNS 配置 (在 DNS 服 务 器 上 ) 。 这 些 新 的 信息 对 任何 向 服 
务 器 发 出 DNS 请 求 的 计算 机 都 是 可 用 的 。 另 外 ，DNS 服 务 器 还 可 以 优 
化 搜索 的 速度 ， 因 此 ， 相 对 于 在 每 台 计 算 机 都 分 别 搜索 骏 重 的 主机 文 
fF, DNS 服务 器 可 以 支持 更 大 规模 的 数据 库 。 

与 主机 文件 名 称 解 析 相 比 ， 图 10.2 中 的 DNS 服 务 器 有 多 个 优点 ， 
它 为 本 地 网 络 提供 了 一 个 单一 的 DNS 配 置 点 ， 使 得 网 络 资 源 的 利用 更 
加 有 效 。 然 而 ， 图 10.2 所 示 的 配置 仍然 无 法 提供 非 中 心 化 的 管理 巨型 
网 络 的 能 力 。 与 主机 文件 类 似 ， 图 10.2 中 的 名 称 服务 器 也 无 法 高 效 地 
保存 有 Internet 上 所 有 主机 名 的 数据 库 。 即 使 可 以 ， 从 后 勤 支持 角度 
来 说 ， 维 护 所 有 Internet 信 息 的 数据 库 也 是 不 允许 的 。 配 置 这 种 服务 器 
的 人 员 必 须知 道 世界 上 任何 一 个 地 方 的 Internet 主 机 所 发 生 的 变化 。 

对 于 设计 者 说 ， 一 个 更 好 的 解决 方案 是 允许 每 个 办 公 室 或 机 构 可 
以 配置 图 10.2 中 所 示 的 本 地 名 称 服务 器 ， 并 使 所 有 的 名 称 服务 器 都 可 
以 彼此 通信 〈 见 图 10.3) 。 在 这 种 情况 下 ， 当 DNS 客户 端 向 名 称 服务 
器 发 送 名 称 解析 请 求 时 ， 名 称 服务 器 会 进行 按 下 面 一 种 情况 进行 处 
理 。 


图 10.2 DNS 服务 器 可 以 为 网 络 提供 名 称 解析 服务 


DNS 服务 器 


图 10.3 在 大 型 网 络 中 ，DNS 服 务 器 通过 与 其 他 服务 器 进行 通信 ， 以 提 
供 名 称 解析 服务 


如 果 名 称 服务 器 在 自己 保存 的 地 址 数据 库 中 发 现 了 被 请 求 的 地 
址 ， 则 将 这 个 地 址 发 回 给 客户 端 

> 如 果 名 称 服务 器 在 自己 保存 的 记录 中 没有 找到 这 个 地 址 ， 会 要 
求 其 他 的 名 称 服务 器 查找 这 个 地 址 ， 接 着 将 这 个 地 址 发 回 给 客户 端 。 

那么 在 查询 IP 地 址 的 过 程 开 始 后 ， 第 一 个 服务 器 是 如 何 知道 需要 
与 哪个 服务 器 联系 呢 ? 实际 上 ， 这 个 查询 的 过 程 与 DNS 名 称 空间 的 设 
计 是 紧密 相关 的 。 记 住 ，DNS 并 不 是 只 使 用 主机 名 的 。 本 章 前 面 讲 
到 ，DNS 使 用 的 是 完全 限定 域名 (FQDN) 。FQDN 是 由 主机 名 和 特定 
的 域名 组 成 的 。 

DNS 名 称 空间 是 一 个 多 层 排 列 的 域名 〈 见 图 10.4) 。 一 个 域名 就 
是 一 组 计算 机 ， 这 些 计算 机 位 于 同一 个 授权 环境 中 ， 共 享 着 名 称 空间 


的 同一 个 部 分 (也 就 是 具有 相同 的 域名 ) 。 在 DNS 树 的 顶端 是 名 称 为 
root 的 根 节点 。root 有 时 候 会 显示 为 符号 “.”， 但 root 实 际 的 符号 为 null 字 
符 。 在 root 之 下 是 一 组 顶级 域名 (Top Level Domain, TLD) 。 图 10.4 
所 示 的 TLD 是 世界 上 最 著名 的 DNS 名 称 空间 : Internet。TLD 包 括 了 常 
见 的 .com、.org 和 .edu 域名 ， 以 及 用 于 国家 政府 的 域名 ， 例 如 .us ( 美 
国 ) 、.uk (RE) . fr CAB) 和 .jp (日 本 ) o 


Root (.) 


macmillan.com sun.com 


sams.macmillan.com que.macmillan.com 
ma x 
图 10.4 DNS 名 称 空间 


在 这 些 顶级 域名 下 是 另 一 个 域名 层 ， 这 个 域名 层 (在 Internet 
中 ) 是 由 企业 、 季 候 或 组 织 控 制 的 。 这 些 机 构 名 称 会 作为 TLD 的 前 
3. BGO, TER 10.5 中 ，DeSade College 的 域名 是 DeSade.edu。 被 授予 
域名 的 组 织 可 以 创建 一 个 或 多 个 其 他 的 子 域名 层 。 每 一 层 中 ， 本 地 域 
名 的 名 称 都 是 父 域名 的 前 缀 。 例 如 ，DeSade 的 娱乐 才艺 部 门 的 域名 就 
是 flames.DeSade.edu ( 见 图 10.5) ， 而 大 众 休 息 室 (学 生 通 常会 称 之 为 
Hz”) 的 域名 则 是 dungeon.flames.DeSade.edu。 总 的 来 说 ，DNS 系 统 
支持 多 达 127 层 的 域名 ， 不 过 很 长 的 域名 也 会 使 人 感到 非常 头疼 。 


edu 


DeSade.edu 


flames.DeSade.edu 


dungeon.flames.DeSade.edu 


= 
— 


图 10.5 一 个 适当 的 DNS 场景 


注意 : 域名 层 

如 果 经 常 使 用 Internet， 就 需要 注意 ， 带 有 几 个 级 别 的 扩展 域名 
(如 图 10.5 所 示 的 场景 ) 并 不 常见 。 在 .com TLD 中 的 网 站 ， 一 般 会 用 
www 前 缀 做 标记 : www.ibm.com。 然而， 请 记 住 ， 网 站 可 能 是 位 于 一 
台 服 务 器 上 ， 也 可 能 位 于 某 个 地 方 的 一 组 服务 器 上 。 由 于 多 层 域名 在 
网 络 管理 中 的 使 用 ， 人 们 就 能 够 访问 分 布 在 大 型 企业 网 络 上 的 资源 ， 
而 这 些 资源 则 可 以 保存 在 不 同 的 地 方 。 公 共 的 TLD (例如 .gov) 更 倾 
向 与 利用 多 层 域名 。 

域名 显示 的 是 从 树 的 顶端 开始 的 名 称 链 。sams.com 的 域名 服务 器 
中 保存 了 sams.com 下 所 有 主机 的 名 称 解析 信息 。 在 本 域 中 被 授权 的 名 
称 服务 器 可 以 将 关于 子 域 的 名 称 解 析 委 派 给 其 他 的 服务 器 。 例 如 ， 


sams.com 的 授权 名 称 服务 器 可 以 将 子 域 edit.sams.com 授 权 给 其 他 的 名 
称 服务 器 进行 解析 。 子 域名 edit.sams.com 的 名 称 解 析 记 录 位 于 委派 子 
域名 解析 授权 的 名 称 服务 器 上 。 对 名 称 解 析 的 授权 可 以 通过 一 个 树 状 
结构 委派 ， 指 定 域 的 管理 员 可 以 控制 本 域 中 所 有 主机 的 名 称 与 地 址 的 
映射 。 

当 网 络 上 的 主机 需要 IP 地 址 时 ， 通 常会 发 送 一 个 递归 的 查询 给 附 
近 的 名 称 服务 器 。 这 个 查询 要 求 名 称 服务 器 “要 么 返回 与 此 名 称 相关 的 
IP 地 址 ， 要 么 告诉 我 无 法 找到 这 个 地 址 *。 如 果 名 称 服务 器 在 自己 的 记 
录 中 没有 找到 被 请 求 的 地 址 ， 可 以 局 动 一 个 查询 过 程 ， 询 问 其 他 的 名 
称 服 务 器 能 否 获得 这 个 地 址 。 图 10.6 展 示 了 查询 的 过 程 。 名 称 服务 器 A 
使 用 了 一 个 迭代 的 查询 过 程 来 查找 地 址 。 这 个 迭代 的 查询 过 程 会 通知 
下 一 个 名 称 服务 器 “要 么 返回 IP 地 址 ， 要 么 告诉 我 在 哪里 可 能 会 找到 这 
个 地 址 *。 这 个 过 程 可 以 总 结 为 ， 客 户 端 发 送 一 个 递归 查询 给 名 称 服务 
器 ; 接 下 来 ， 这 个 名 称 服 务 器 会 发 送 一 系列 的 迭代 查询 给 其 他 的 名 称 
服务 器 来 解析 这 个 名 称 。 当 名 称 服务 器 获得 了 与 名 称 相 关 的 地 址 时 ， 
就 使 用 这 个 地 址 来 回复 客户 端的 查询 。 


IP for trog. Dogin... 


IP is 192.134.14.21 


2110.6 域名 解析 的 过 程 


DNS 名 称 解 析 的 过 程 如 下 所 示 ( 见 图 10.6) o 

1. 主机 1 向 名 称 服 务 器 A 发 送 了 一 个 查询 ， 请 求 查 找 域名 
trog.DogInStarlight.marines.mil 的 了 地 址 。 

2. 名 称 服务 器 查找 自己 保存 的 记录 ， 看 能 否 找 到 这 个 被 请 求 的 IP 
地 址 。 如 果 服 务 器 A 中 有 这 个 地 址 ， 将 此 地 址 返回 给 主机 1。 

3. 如 果 服 务 器 A 没有 这 个 地 址 ， 则 发 起 查找 地 址 的 过 程 。 名 称 服 
务 器 A 发 送 迭 代 请 求 给 .mil 域 的 顶级 名 称 服务 器 B， 询 问 
trog.DogInStarlight.marines.mil 的 相关 地 址 。 

4. 名 称 服务 器 B 无 法 提供 这 个 地 址 ， 但 是 会 将 域 marines.mil 的 名 
称 服务 器 (服务 器 C) 地 址 发 给 服务 器 A。 


5. 服务 器 A 向 服务 器 C 发 送 查 询 地 址 请 求 。 服 务 器 C 无 法 提供 
这 个 地 址 ， 就 将 DogInStarlight.marines.com 的 名 称 服 务 器 (ARSED) 
地 址 发 给 服务 器 A。 

6. 服务 器 A 向 服务 器 DD 发 送 查 询 地 址 请 求 。 名 称 服务 器 DD 找到 了 
DogInStarlight. marines.com 的 地 址 ， 就 将 这 个 地 址 发 给 名 称 服务 器 A。 
名 称 服务 器 A 接 着 会 将 这 个 地 址 发 给 主机 1。 

7. 主机 1 发 起 与 主机 DogInStarlight.marines.com 的 连接 。 

该 过 程 每 天 在 Internet 上 会 出 现成 千 上 万 次 ， 由 于 当今 网 络 的 其 
他 一 些 特性 (例如 地 址 缓存 、DHCP 和 动态 DNS) ， 这 个 过 程 也 变 得 
不 再 如 此 简洁 。 然 而 ， 大 多 数 TCP/IP 网 络 的 功能 仍然 会 依赖 这 种 形式 
的 DNS 名 称 解 析 。 

另 一 个 需要 值得 注意 的 重点 是 ， 并 不 是 每 一 个 域 树 中 的 节点 都 必 
须 单独 拥有 名 称 服务 器 。 一 个 名 称 服 务 器 可 以 控制 多 个 域 。 当 然 ， 一 
个 域 中 也 常常 会 使 用 多 个 域名 服务 器 。 
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Internet 仅 仅 是 DNS 名 称 空间 的 一 个 例子 。 用 户 可 以 在 没有 连接 到 
Internet 的 状况 下 使 用 DNS。 如 果 没 有 连接 Internet， 就 不 必 关 心 域名 的 
注册 。 然 而 ， 需 要 在 Internet 上 使 用 自己 域名 (例如 BuddysCars.com) 
的 组 织 则 必须 向 相应 的 注册 授权 部 门 注册 这 个 名 称 。 

ICANN 会 监管 域名 注册 的 任务 ， 但 对 会 将 特定 TLD 的 注册 委派 给 
其 他 组 织 。 下 面 是 一 些 常用 TLD 的 注册 服务 。 

> .com、.org 和 .net: 一 些 公 司 (被 称 为 注册 登记 机 构 ) 可 以 提供 
对 .com、.org 和 .net 以 及 其 他 人 们 不 熟悉 的 某 些 域名 ( 例 
如 .info、.museum、.name 和 .pro) 的 名 称 解析 服务 。 在 
http://www.internic.net/regist.html 上 可 以 找到 ICANN 授 权 的 注册 登记 机 
构 。 

> gov: .gov 域 名 为 美国 联邦 政府 保留 。 州 和 地 方 政 府 的 域名 来 
自 于 U.S.TLD。.gov 域 名 的 注册 服务 位 于 
https://www.dotgov.gov/portal/web/dotgov/welcomeo 

其 他 的 域 以 及 与 域 相 天 的 国家 ， 注 册 过 程 则 有 很 多 不 同 。 

注意 : 注册 游戏 

最 近 几 年 ， 名 称 注册 的 游戏 变 得 越 来 越 具 有 竞争 性 。 有 些 公司 的 
业务 已 经 超出 了 域名 注册 本 身 ， 而 是 更 关注 于 其 投机 的 价值 。 你 可 能 
在 Web 浏 览 器 中 输入 了 错误 的 名 称 ， 此 时 却 突然 出 现 了 一 个 页 面 ， 询 
问 你 是 否 希 望 注册 刚刚 输入 的 名 称 。 如 果 你 想 要 注册 一 个 名 称 ， 可 以 
直接 使 用 官方 注册 机 构 。 a.) aed. 
域名 来 查看 域名 是 否 已 被 注册 。 有 些 用 户 发 现 当 输入 了 地 址 后 ， 

到 他 们 想 要 注册 的 名 称 不 知道 在 什么 情况 下 被 一 个 投机 者 注册 了 E 
管 主 要 的 Internet 公 司 都 拒绝 进行 这 样 的 注册 ) 。 


10.5 y 


在 网 络 上 实现 DNS 时 ， 至 少 需要 选择 一 个 服务 器 来 负责 维护 域 的 
信息 。 这 个 服务 器 就 是 首选 名 称 服务 器 ， 它 可 以 从 本 地 文件 中 获得 其 
负责 区 域 的 所 有 信息 。 在 域 中 的 任何 修改 都 应 该 反映 到 这 个 服务 器 
Es 

许多 网 络 通常 还 会 有 一 个 或 多 个 服务 器 作为 备份 或 备用 域名 服务 
器 。 如 果 主 服务 器 遇 到 了 问题 ， 可 以 用 这 人 台 服 务 器 继续 提供 服务 。 备 
用 域名 服务 器 从 首选 服务 器 的 区 域 文件 中 获得 需要 的 信息 。 这 种 信息 
交互 的 方式 称 为 区 域 传送 (Zone Transfer) 。 

第 3 种 类 型 的 服务 器 被 称 为 只 缓存 (caching-only) 服务 器 。 缓 存 
是 计算 机 内 存 的 一 部 分 ， 用 来 保存 被 频繁 请 求 的 数据 ， 以 便于 提供 更 
好 访问 服务 。 只 缓存 服务 器 会 响应 来 自 于 本 地 网 络 客户 端 对 名 称 解 析 
的 查询 请 求 ， 向 其 他 的 DNS 服 务 器 查询 域 和 提供 服务 (例如 Web 和 
FTP) 计算 机 的 信息 。 当 从 其 他 DNS 服 务 器 收 到 这 些 信息 后 ， 将 信息 
保存 在 缓存 中 以 便于 响应 再 次 对 这 些 信 息 的 查询 请 求 。 

只 缓存 服务 器 通常 会 被 本 地 网 络 的 客户 端 计算 机 用 来 进行 名 称 解 
析 。 位 于 Internet 上 的 其 他 DNS 服务 器 并 不 知道 这 些 服务 器 的 存在 ， 
因此 也 就 不 会 查询 它们 。 这 种 服务 器 很 适合 分 担 服务 器 上 的 负载 。 此 
外 ， 只 缓存 服务 器 的 维护 也 很 简单 。 

注意 : DNS 实现 

在 运行 DNS 服务 器 的 机 器 上 ，DNS 必须 被 实现 为 服务 或 后 台 程 
序 。Windows 服 务 器 自 带 一 个 DNS 服务 。 当 然 ， 有 些 管理 员 会 倾向 于 
使 用 第 三 方 的 DNS 实现 。 在 UNIX/Linux 上 则 有 很 多 DNS 的 实现 ， 其 中 
最 常用 的 是 Berkeley Internet Name Domain (BIND) o 


e) 


10.5.1 域 和 区 域 


在 一 组 公共 DNS 服务 器 上 配置 的 DNS 主机 的 集合 被 称 为 “区 域 
(zone) ”。 在 简单 网 络 上 ， 一 个 区 域 可 能 会 表示 一 个 完整 的 DNS 域 。 
例如 ， 域 punyisp.com 可 能 作为 单独 的 区 域 进 行 DNS 配置 。 在 复杂 的 网 
络 上 ， 对 子 域 的 DNS 配置 有 时 会 被 委派 给 其 他 的 区 域 。 区 域 委派 使 得 
负责 子 网 管理 的 管理 员 能 够 直接 管理 子 网 的 DNS 配 置 。 例 如 ， 域 
cocacola.com 的 管理 员 会 将 子 域 dallas.cocacola.com 的 DNS 配置 委派 给 
一 个 区 域 ， 而 这 个 区 域 是 由 Dallas 办 公 室 中 的 管理 员 控 制 的 ， 这 样 就 
能 够 近 距 离 的 对 域 dallas.cocacola.com 上 的 主机 进行 监视 。 

那么 区 域 与 域 有 什么 不 同 呢 ? 除了 细微 的 语义 差别 外 ( 域 是 名 称 
空间 的 一 部 分 ， 而 区 域 则 表示 一 个 主机 的 集合 ) ， 区 域 和 域 的 概念 
不 是 并 行 的 。 在 阅读 本 节 内 容 时 ， 请 记 住 以 下 内 容 。 

> 作为 子 域 的 成 员 自然 也 就 是 父 域 的 成 员 。 例 如 ， 
dallas.cocacola.com 中 的 主机 也 是 cocacola.com 域 的 一 部 分 。 与 之 相 
反 ， 如 果 域 dallas.cocacola.com 被 委派 给 一 个 区 域 ， 

则 dallas.cocacola.com 上 的 主机 并 不 是 cocacola.com 区 域 的 一 部 分 。 

> 如 果子 域 没 有 被 专门 委派 ， 就 不 需要 单独 的 区 域 ， 只 用 将 它 包 
含 在 父 域 的 区 域 文件 中 。 

如 何 委派 DNS 区 域 则 取决 于 DNS 服 务 器 应 用 程序 。 当 前 ， 最 重要 
的 事情 是 记 住 ， 区 域 用 于 表示 一 组 DNS 服 务 器 和 主机 上 的 一 个 配置 集 
合 ，DNS 管 理 员 可 以 将 名 称 空间 的 组 成 部 分 委派 给 其 他 区 域 ， 以 便 提 
高 管理 效率 。 

1. 区域 文件 

上 一 节 讲 到 ， 一 个 DNS 区 域 就 是 一 个 可 管理 的 单元 。 这 个 单元 表 
示 的 是 ， 位 于 DNS 名 称 空间 中 某 个 部 分 上 的 计算 机 的 集合 。 区 域 的 
DNS 配置 存储 在 一 个 区 域 文件 中 。 当 需要 响应 查 讯 和 发 起 查询 时 ， 


DNS 服 务 器 会 引用 区 域 文件 中 的 信息 。 区 域 文件 是 一 个 带 有 标准 架构 
的 文本 文件 。 区 域 文件 的 内 容 有 多 个 资源 记录 构成 。 一 个 资源 记录 就 
是 一 行文 本 ， 提 供 了 一 组 有 用 的 DNS 配 置信 息 。 下 面 是 一 些 常用 的 资 
产 记 录 类 型 。 

> SOA: SOA 表 示 权 力 的 起 始点 (Start of Authority) 。SOA 记 

录 为 区 域 指定 了 权威 名 称 服 务 器 。 

> NS: NS 表示 名 称 服 务 器 (Name Server) 。NS 记 录 为 区 域 指定 

了 一 个 名 称 服 务 器 。 虽 然 区 域 中 可 以 有 多 个 名 称 服 务 器 因此， 也 就 
会 有 多 条 NS 记录 ) ， 但 是 只 能 有 一 条 指定 权威 名 称 服务 器 的 SOA 记 
录 。 

> A: A 记 录用 于 将 DNS 名 称 映射 到 IP 地 址 。 

> AAAA: AAAA 记 录 将 DNS 名 称 映射 到 IPv6 地 址 。 

> PTR: PTR 记 录用 于 将 IP 地 址 映射 到 DNS 名 称 。 

> CNAME: CNAME 是 规范 名 称 (canonical name) 的 缩写 。 

CNAME 记 录用 于 将 一 个 别名 映射 到 一 个 由 A 记 录 表 示 的 实际 主机 名 。 
因此 ， 区 域 文件 可 以 告知 DNS 服务 器 如 下 内 容 : 

> 区 域 的 权威 DNS 服 务 器 。 

> 区 域 中 的 DNS 服 务 器 (权威 的 和 非 权 威 的 ) o 

> 区 域 中 主机 别名 所 表示 的 主机 的 DNS 名 称 到 IP 地 址 的 映射 ， 主 

机 别名 是 主机 的 另外 一 个 名 称 。 

其 他 的 资源 记录 类 型 提供 相关 主题 的 信息 ， 例 如 邮件 服务 器 
(MX 记录 ) 、 卫 到 DNS 名 称 的 映射 (PTR 记录 ) 以 及 熟知 的 服务 
(WKS 记 录 ) 。 下 面 是 一 个 区 域 文件 的 示例 : 

@IN SOA boris.cocacola.com. hostmaster.cocacola.com. ( 

201.9 ; serial number incremented with each 


; file update 


3600 ; refresh time (in seconds) 
1800 ; retry time (in seconds) 
4000000 ; expiration time (in weeks) 
3600) ; minimum TTL 

INNS horace.cocacola.com. 

INNS boris.cocacola.com. 

; Host to IP address mappings 

localhost IN A 127.0.0.1 

chuck IN A 181.21.23.4 

amy IN A 181.21.23.5 

darrah IN A 181.21.23.6 

joe IN A 181.21.23.7 

bill IN A 181.21.23.8 


; Aliases 


ap IN CNAME ah 

db IN CNAME darrah 

bu IN CNAME bill 

注意 ，SOA 记 录 包 含 了 几 个 参数 ， 这 些 参 数 用 于 控制 如 何 使 用 首 
选 服务 器 上 的 区 域 数据 副本 来 更 新 备用 DNS 服 务 器 。 除 了 表示 区 域 文 
件 版 本 的 序列 号 外 ， 其 他 参数 用 于 指定 下 面 的 内 容 。 

> Refresh time: 表示 备用 DNS 服 务 请 求 首选 服务 器 更 新 其 区 域 
言 息 的 时 间 间 隔 。 


> Retry time: 指定 在 区 域 更 新 未 成 功 时 ， 需 要 等 待 多 长 时 间 ， 
才 应 再 次 进行 尝试 。 

> Expiration time: 指定 备用 名 称 服务 器 保留 未 刷新 记录 的 上 限 
时 间 。 

> Minimum Time-to-Live (TTL) : 指定 被 输出 区 域 记 录 的 默认 
TTLo 

SOA 记 录 的 最 右 侧 是 负责 区 域 管理 的 管理 员 的 邮件 地 址 。 用 @ 符 
号 替代 第 一 个 符号 “<.”， 就 是 实际 的 邮件 地 址 。 

当然 ， 上 面 的 例子 是 一 个 最 简单 的 区 域 文件 。 更 大 的 文件 可 能 会 
包含 数 百 条 地 址 记录 和 其 他 一 些 不 常用 的 记录 类 型 (用 于 表示 配置 的 
其 他 部 分 ) 。 区 域 文件 的 名 称 以 及 格式 ， 根 据 DNS 服 务 器 软件 的 不 同 
也 有 所 不 同 。 这 个 例子 是 根据 流行 的 BIND (Berkeley Internet Name 
Domain) 生成 的 ，BIND 是 Internet 上 最 常见 的 名 称 服务 器 。 

此 外 ， 还 需要 记 住 的 是 ， 通 过 操作 文本 文件 来 配置 服务 已 经 越 来 
越 不 受 欢 迎 了 。 许 多 DNS 服务 器 应 用 程序 都 提供 了 用 户 界 面 来 隐藏 区 
域 文件 的 细节 。 动 态 DNS (本 章 后 面 会 讲 到 ) 还 提供 了 用 于 一 个 专门 
用 来 隐藏 配置 细节 的 分 层 。 

2. 北向 查找 区 域 文件 

DNS 名 称 解 析 中 需要 的 另 一 种 区 域 文件 类 型 是 逆向 查找 文件 。 当 
客户 端 提供 了 IP 地 址 ， 要 求 查找 相应 的 主机 名 时 会 使 用 这 个 文件 。 在 
IP 地 址 中 ， 最 左边 的 是 通用 的 部 分 ， 最 右面 的 部 分 是 特定 的 部 分 ， 而 
域名 则 正 相 反 : 左边 的 是 特定 的 部 分 ， 右 面 的 部 分 (例如 com 或 edu) 
是 通用 的 部 分 。 要 想 创建 逆向 查找 区 域 文件 ， 必 须 将 网 络 地 址 进行 翻 
转 ， 以 便于 通用 和 特定 部 分 的 顺序 与 域名 的 样式 相同 。 例 如 ， 应 用 于 
192.59.66.0 网 络 的 区 域 的 名 称 应 该 是 66.59.192. in-addr.arpao 

in-addr 部 分 表示 逆向 地 址 ， 而 arpa 部 分 是 另 一 个 TLD， 即 来 源 
于 Internet 的 前 身 ARPAnet。 


该 文件 作为 一 个 普通 的 区 域 文 件 开 始 〈 见 前 面 的 例子 ) ， 具 有 一 
条 SOA 记 录 和 NS 记录 ， 其 中 后 者 定义 了 区 域 的 名 称 服 务 器 ， 但 是 它 没 
有 使 用 将 域名 映射 为 地 址 的 A 记录 ， 而 是 包含 一 条 将 地 址 映射 为 名 称 
的 PTR 记 录 。 在 地 址 映射 中 ， 只 包含 了 地 址 的 主机 部 分 。 网 络 部 分 来 
和 目 于 文件 名 。 

; zone file for 23.21.181.in-addr.arpa 

@ IN SOA boris.cocacola.com. hostmaster.cocacola.com ( 


201.9 ; serial number incremented with each 


; file update 
3600 ; refresh time (in seconds) 
1800 ; retry time (in seconds) 
4000000 ; expiration time (in weeks) 


3600) ; minimum TTL 
IN NS  horace.cocacola.com. 


IN NS  boris.cocacola.com. 
IP address to host mappings 


4 IN PTR chuck 

5 IN PTR amy 

第 13 章 将 会 讲 到 ， 下 一 代 IPv6 包 含 一 个 128 位 的 地 址 空间 。 尽 管 逆 
向 查找 区 域 文件 在 IPv6 子 网 上 的 作用 让 然 相同 ， 但 是 文件 名 将 发 生变 
化 ， 而 且 其 中 的 条 目 也 变 得 更 长 。 

IPV6 逆 向 查找 区 域 文件 的 最 初 计划 是 使 用 ip6.int 结 尾 ， 但 是 
Internet 如 今 正 在 转换 为 以 pv6.arpa 结 尾 。 我 们 可 能 还 会 遇 到 其 他 形 
式 。 对 IPv4 而 言 ， 地 址 的 网 络 部 分 在 文件 名 中 得 到 反映 (以 逆序 ) ， 


而 主机 ID 则 是 作为 文件 中 的 一 个 条 目 给 出 的 (也 是 逆序 ， 它 映射 
到 一 个 主机 名 称 。 有 关 IPv6 的 详情 ， 请 见 第 13 章 。 


10.5.2 DNS 安全 扩展 (DNSSEC) 


DNS 系统 已 经 为 Internet 社 区 服务 了 很 长 时 间 ， 用 户 在 查询 名 称 服 
务 时 ， 也 习惯 了 快速 高 效 地 接收 到 应 答 。 说 实话 ，Internet 作为 世界 范 
围 内 的 终端 用 户 企业 ， 如 果 没 有 DNS， 则 根本 无 法 运行 。 然 而 ，DNS 
系统 最 初 在 开发 之 时 ， 专 家 们 就 已 经 认识 到 它 存在 与 生 俱 来 的 不 安全 
性 。 

DNS 数据 是 公共 的 ， 在 这 种 情况 下 ， 安 全 性 不 再 意味 着 私密 性 。 
但 是 客户 端 仍然 需要 一 些 方法 来 确保 对 DNS 请 求 的 答复 是 来 自 于 真实 
的 DNS 服务 器 ， 而 且 这 个 服务 器 应 该 由 区 域 进行 监管 。 

攻击 者 已 经 开发 了 几 种 技术 来 针对 DNS 查询 发 送 伪造 的 响应 。 解 
惑 了 DNS 请 求 的 攻击 者 可 以 发 送 伪 造 的 响应 ， 将 客户 端 重 定 向 到 秘密 
的 DNS 服务 器 ， 该 服务 器 充当 启动 攻击 的 一 种 手段 。 只 要 伪造 的 回复 
先 于 真实 的 回复 到 达 DNS 客 户 端 ， 则 该 客户 端 就 落 入 了 圈套 。 

这 个 问题 的 解决 方案 是 提供 一 种 方式 来 验证 返回 的 DNS 数据 产 的 
有 效 性 。DNS 安 全 扩展 (DNSSEC) 提供 了 验证 DNS 数据 有 效 性 的 系 
统 。 如 今 很 多 操作 系统 都 提供 了 DNSSEC 选 项 ， 但 是 该 DNSSEC 仍 然 
没有 大 范围 的 实现 。 但 是 有 些 高 性 能 (high-profile) 的 域 已 经 全 面 支 
持 DNSSEC， 使 得 DNSSEC 慢 慢 被 公众 所 接受 。 

最 初 的 DNS 安 全 系统 于 1999 年 在 RFC 2535 中 定义 ， 但 是 这 个 初始 
系统 在 实现 时 难度 很 大 ， 而 且 也 不 能 很 好 地 扩展 到 Internet 上 ， 所 以 很 
少 使 用 。 在 2005 年 ， 随 着 RFC 4033、4034 和 4035 的 出 现 ， 保 证 DNS 
安全 的 新 一 轮 倡议 再 次 兴起 。 这 个 新 的 DNSSEC 被 几 个 重要 的 TLD 采 
纳 ， 比 如 .com、.org， 以 及 其 他 国家 级 的 域名 。 在 2010 年 发 生 的 国际 
化 域名 入 根 事件 将 会 缓解 公众 认 知 并 接受 域名 的 障碍 。 

DNSSEC 使 用 加 密 密 钥 和 数字 签名 来 提供 安全 。 第 11 章 将 详细 
讲解 签名 和 加 密 等 内 容 。 


DNSSEC 需 要 支持 DNS 扩展 机 制 (EDNS) ， 后 者 在 RFC 26714 
定义 。ENDS 的 DO 报头 位 表示 一 个 DNSSEC 查 询 。 

DNSSEC 添 加 了 一 个 验证 过 程 来 DNS 查询 的 结果 是 可 信 的 。 与 基 
本 的 DNS 名 称 解析 过 程 相 似 ，DNSSEC 从 一 系列 步骤 到 达 与 给 定 查询 
中 的 名 字 相 关联 的 区 域 。 但 是 ，DNSSEC 增 加 了 一 个 信任 链 (chain-of- 
trust) 类 型 的 验证 ， 其 理念 是 从 一 个 受信 任 的 开始 ， 将 请 求 沿 着 一 系 
列 已 知 的 和 验证 过 的 步骤 向 下 传输 ， 直 到 到 达 这 样 一 个 服务 器 : AR 
务 器 拥有 一 个 用 来 验证 DNS 数据 来 源 的 签名 。 

为 了 实现 该 目标 ，DNSSEC 添 加 了 4 个 新 的 DNS 资 源 记 录 类 型 。 

> DNSKEY: 用 来 签名 和 验证 DNS 资 源 记 录 集 的 公共 密 钥 。 

> DS: 指向 (并 验证 ) 子 区 域 DNSKEY 的 资源 记录 。 

> RRSIG: 与 区 域 数据 相关 联 的 数字 签名 。 

> NSEC: 包含 权威 数据 (authoritative data) 的 下 一 个 持 有 者 的 
名 称 。 

拥有 安全 DNS 数据 的 服务 器 形成 了 一 个 信任 链 。 解 析 器 

(resolver) 必须 能 够 独立 访问 与 顶级 区 域 的 DSNKSEY 记 录 相 关联 的 
公共 密 钥 。 该 密 钥 是 分 别 获得 的 ， 它 可 以 验证 存储 在 信任 锚 (trust 
anchor) 上 的 数据 ， 其 中 包含 一 条 DS 记录 ， 该 记录 在 查询 过 程 的 下 一 
步 对 与 子 区 域 相关 联 的 DNSKEY 进 行 验证 。 

解析 器 遍历 信任 链 ， 并 使 用 父 区 域 中 的 DS 密 钥 对 低级 子 区 域 中 的 
DNSKEY 进 行 遍历 式 验 证 。 在 最 后 一 步 ， DNSKEY 将 存储 在 RRSIG 资 
源 记 录 中 的 数字 签名 进行 解密 ， 然 后 将 其 与 正常 的 NDS 查 询 过 程 返回 
的 签名 相 比较 。 如 果 两 者 相 匹 配 ， 也 就 对 发 送 DNS 查询 的 源 进行 了 核 
实 ， 从 而 数据 是 可 信 的 。 

DNSSEC 的 处 理 过 程 如 图 10.7 所 示 。 信 任 锚 预 配置 的 密 钥 将 信任 
链 解锁 〈 在 理想 情况 下 ， ITLD 充 当 信任 锚 ， 但 是 还 有 可 能 存在 其 他 选 
项 ) 。 


存储 在 初始 入 口 点 (initial entry point) 的 DNS 数据 包括 所 有 子 区 
域 的 DS 记录 。 例 如 ， 用 于 .com 区 域 的 权威 域名 服务 器 包含 
famousIT.com 的 DS 记录 。 这 条 DS 记录 识别 和 认证 子 区 域 的 DNSKEY。 

如 果 名 称 中 包含 一 系列 额外 的 子 区 域 ， 解 析 器 将 处 理 信任 链 ， 依 
次 获得 DS 记录 来 验证 低级 的 DNSKEY。 

当 该 处 理 过 程 到 达 最 低级 的 子 区 域 时 ，DNSKEY 解 密 存储 在 
RRSIG 记 录 中 的 区 域 数据 签名 ， 该 签名 验证 返回 的 DNS 数据 ， 以 响应 
最 初 的 查询 。 


DNS 服务 器 


图 10.7 DNSSEC 的 处 理 过 程 


可 以 看 到 ，DNSSEC 取 决 于 DNSKEY 和 DS 资源 记录 之 间 的 交互 链 
(chain of interaction) 。DNSKEY 和 DS 资源 记录 是 紧密 相关 的 ， 它 们 
都 以 相似 的 信息 为 基础 。RFC 40344422, “DS RR 通过 存储 密 钥 标 
记 、 算 法 数值 ， 以 及 DNSKEY RR 的 摘要 来 引用 DNSKEY RR。DS RR 
以 及 与 其 相应 的 DNSKEY RR 有 同一 个 持 有 者 名 称 ， 但 是 两 者 的 存储 
位 置 不 同 。DR RR 只 出 现在 委派 的 上 (4) 面 ， 在 父 区 域 中 是 权威 数 
据 。 例 如 ，example.com 的 DS RR 是 存储 在 .com 区 域 ， 而 不 是 
example.com 区 域 。 

父 区 域 中 可 能 包含 多 个 子 区 域 的 DS 记录 ， 每 一 个 DS 记录 提供 
了 必要 的 信息 来 验证 与 子 区 域 相对 应 的 DNSKEY 记 录 是 否 正确 ， 而 且 
在 信任 链 内 表示 一 台 服 务 器 。 


RRSIG 记 录 的 另外 一 个 重要 组 成 部 分 包含 区 域 数据 的 签名 。RFC 
4035 中 提 到 ,“ 为 了 对 一 个 区 域 进行 签 名 ， 区 域 管 理 员 要 生成 一 个 或 多 
个 公共 /私有 密 钥 对 ， 并 使 用 私有 密 钥 对 区 域 中 的 权威 RRset 进行 签 
名 。 对 每 一 个 用 来 在 区 域 中 创建 RRSIG 记录 的 私有 密 钥 来 说 ， 区 域 应 
该 包含 一 个 区 域 DNSKEY， 而 且 这 个 区 域 DNSKEY 要 包含 相应 的 公 
共 密 钥 。” 

RRSIG 记 录 包 含 像 持 有 者 名 称 、 类 值 (class value) . TITLE, € 
含 数据 的 区 域 的 名 字 ， 以 及 识别 记录 的 其 他 数据 这 样 的 信息 。 

当 名 称 错误 或 者 是 在 查询 名 称 的 过 程 中 ， 无 法 使 用 精确 匹配 时 ， 
将 会 用 到 NSEC 记 录 。 


10.5.3 DNS 工具 


用 户 可 以 使 用 任何 支持 名 称 解 析 的 网 络 工具 来 测试 网 络 的 名 称 解 
析 是 否 正 常 。Web 浏 览 器 、FTP 客 户 端 、Telnet 客 户 端 或 ping 工 具 都 可 
以 检查 计算 机 是 否 能 够 成 功 地 进行 名 称 解 析 。 如 果 可 以 使 用 IP 地 址 连 
接 一 个 资源 ， 而 不 能 使 用 主机 名 或 FQDN 来 连接 资源 ， 问 题 很 可 能 会 
出 现在 名 称 解 析 上 。 

如 果 计 算 机 使 用 了 主机 文件 ， 同 时 也 使 用 了 DNS ， 请 记 住 ， 必 须 
在 测试 DNS 时 临时 禁用 或 重 命名 主机 文件 。 否 则 ， 就 无 法 确定 名 称 是 
通过 主机 文件 还 是 通过 DNS 解析 的 。 下 面 的 内 容 将 描述 如 何 使 用 ping 
工具 来 测试 DNS。 之 后 还 会 介绍 NSLookup 工 具 ， 这 个 工具 提供 了 很 多 
DNS 配置 和 排 错 特性 。 

1. 使 用 ping 检 查 名 称 解 析 

ping 工具 虽然 简单 ， 但 是 很 有 用 ， 它 非常 适合 测试 DNS 配置 。 
ping 会 向 其 他 计算 机 发 送 一 个 信号 ， 并 等 待 回复 。 如 果 接 收 到 回复 ， 
就 能 够 确定 这 两 台 计 算 机 是 连接 的 。 如 果 知 道 远程 计算 机 的 了 地 址 ， 
可 以 通过 输入 IP 地 址 来 ping 这 人 台 计 算 机 : 

ping 198.1.14.2 

如 果 这 个 命令 成 功 ， 表 明 本 机 可 以 与 远程 计算 机 通过 IP 地 址 连 
接 。 

现在 ， 通 过 输入 DNS 名 称 来 ping 远 程 计算 机 : 

ping williepc.remotenet.com 

如 果 可 以 通过 IP 地 址 连通 远程 计算 机 ， 而 无 法 通过 DNS 名 称 连 
通 ， 则 表示 名 称 解 析 存 在 问题 。 如 果 可 以 通过 DNS 名 称 连 通 ， 表 示 名 
称 解 析 工 作 正 常 。 

第 14 章 将 详细 讲解 ping 工 具 。 

2。 使 用 NSLookup 检 查 名 称 解析 


用 户 可 以 使 用 NSLookup 工 具 查 询 DNS 服 务 器 ， 查 看 资源 记录 等 信 
息 。 在 需要 对 DNS 问 题 进行 排 错时 这 个 工具 也 十 分 有 用 。NSLookup 工 
具 可 以 按 下 面 两 个 模式 进行 操作 。 

> 批 处 理 模 式 : 在 批 处 理 模式 中 ， 用 户 可 以 启动 NSLookup 并 提 
供 一 些 输入 参数 。NSLookup 会 根据 输入 参数 执行 被 请 求 的 功能 ， 显 示 
结果 ， 最 后 关闭 自己 。 

> 交互 式 模式 : 在 交互 式 模式 中 ， 用 户 启 动 NSLookup 时 不 用 提 
供 输入 参数 。NSLookup 会 提示 用 尸 输 入 参数 。 在 用 户 输 入 了 参数 后 ， 
NSLookup 将 执行 被 请 求 的 操作 ， 显 示 结 果 并 重新 返回 提示 符 状 态 ， 
等 待 接 下 来 被 输入 的 参数 。 大 多 数 管理 员 都 会 使 用 交互 式 模 式 ， 这 是 
因为 在 需要 执行 一 系列 操作 时 ， 这 种 模式 更 方便 。 

NSLookup 有 一 个 丰富 的 选项 列表 。 下 面 介 绍 一 下 基本 的 选项 ， 
以 便于 了 解 NSLookup 的 工作 方式 。 

要 想 以 交互 式 模式 运行 NSLookup， 可 以 在 命令 提示 符 后 输入 名 称 
nslookupo 

如 图 10.8 所 示 ， 每 次 NSLookup 启 动 时 都 会 给 出 NSLookup 正 在 使 用 
的 DNS 服务 器 的 名 称 和 了 地 址 ， 例 如 : 

Default Server: dnsserver.Lastingimpressions.com 

Address: 192.59.66.200 


> 


符号 > 是 NSLookup 的 提示 符 。 


5 Command Prompt - nslookup 


> webserver. lastingimpressions.com 
erver: dnsserver.LastingImpressions.com 
ddress: 192.59.66.200 


ebserver. lastingimpressions.com internet address = 192.59.66.225 
> dnsserver.lastingimpressions.com 

eruer: dnsserver.LastingImpressions.com 

ddress: 192.59.66.200 


nsserver .lastingimpressions.com internet address = 192.59.66.200 
> ls lastingimpressions.com 
[dnsserver .LastingImpressions.com] 


lastingimpressions.com. NS server = dnsserver.lestingimpressions 
dnsserver 4 192.59.66.200 

webserver al 192.59.66.225 

> ls -a lastingimpressions.com 

[dnsserver .LastingImpressions.com] 

WWW CNAME webserver..lastingimpressions.com 

> ls -d lastingimpressions.com 

[dnsserver .LastingImpressions.com] 

lastingimpressions.com. SOA dnsserver .lastingimpressions.com Bobll 
‚com, (3 3600 600 86400 3600) 

lastingimpressions.com. dnsserver . lastingimpressions.com 
dnsserver 192.59.66. 

webserver 192.59.66. 


图 10.8 NSLookup 的 响应 


NSLookup 有 15 项 设置 ， 用 户 可 以 通过 修改 它们 来 影响 NSLookup 
的 操作 。 下 面 列 出 了 一 下 常用 的 设置 。 

> ? ; 和 help: 这 个 命令 用 于 查看 所 有 的 NSLookup 命 令 。 

> server: 这 个 命令 用 于 指定 查询 哪 台 DNS 服 务 器 。 

> ls: 用 于 列 出 域 中 的 名 称 ， 如 图 10.8 的 中 间 部 分 所 示 。 

> ls -a: 这 个 命令 用 于 列 出 域 中 的 规范 名 称 和 别名 ， 如 图 10.8 所 
小 o 

ls -d: 这 个 命令 用 于 列 出 所 有 的 资源 记录 ， 如 图 18.8 的 底部 所 
示 。 

> setal: 这 个 命令 用 于 显示 所 有 设置 的 当前 值 。 


NSLookup 除 了 能 够 访问 本 机 使 用 的 DNS 服务 器 外 ， 还 可 以 使 用 它 
查看 任何 DNS 服务 器 上 的 信息 。 如 果 拥 有 一 个 ISP， 就 会 有 至 少 两 个 服 
务 器 的 IP 地 址 。NSLookup 既 可 以 使 用 IP 地 址 也 可 以 使 用 域名 。 用 户 可 
以 通过 输入 带 有 IP 地 址 或 FQDN 的 server 命 令 切 换 到 另 一 台 DNS 服 务 器 
上 。 例 如 ， 要 想 使 NSLookup 连 接 E 根 服务 器 ， 可 以 输入 server 
192.203.230.10。 然 后 ， 你 可 以 输入 任何 已 有 的 域名 ， 例 如 
samspublishing.com， 查 看 这 个 域名 注册 的 IP 地 址 。 

大 多 数 商 业 DNS 服 务 器 和 根 服务 器 都 会 拒绝 ]s 命 令 ， 这 是 因为 这 
些 命令 将 产生 很 多 的 流量 ， 并 且 可 能 造成 安全 上 的 漏洞 。 


10.5.4 E DIG 


Linux (在 服务 器 机 房 中 很 常见 上 一 个 流行 的 DNS 命 令 工具 是 域 
名 信息 搜索 (Domain Information Groper, DIG) 。 许 多 管理 员 认 为 
DIG 要 比 NSLookup 更 容易 和 灵活 。 在 DIG 最 基本 的 形式 中 ， 如 果 输 入 
主机 名 ， 则 返回 IP 地 址 : 

dig host.domain.com 

在 主机 名 的 前 面 添 加 @server 可 以 指定 要 查询 的 DNS 服务 器 : 

dig @14.13.18.20 host.domain.com 

该 命令 将 查询 地 址 为 14.13.18.20 的 DNS 服务 器 。 

为 了 查询 特定 的 资源 记录 类 型 ， 可 以 添加 资源 类 型 的 名 称 : 

dig host.domain.com NS 

该 命令 将 显示 与 域名 相关 联 的 NS 记录 。 要 查找 邮件 服务 器 ， 可 以 
尝试 如 下 命令 : 

dig host.domain.com MX 

当 指 定 IP 地 址 时 ， 选 项 -x 将 执行 逆向 查找 ， 选 项 -4 将 查询 限定 为 
对 IPv4 的 查询 ， 而 -6 则 是 对 IPv6 进 行 查询 。 


10.6 动态 DNS 


迄今 为 止 所 介绍 的 DNS 都 是 用 于 主机 名 与 IP 地 址 永久 (或 半 永 
A) 关联 的 情况 下 。 在 如 今 的 网 络 中 ，IP 地 址 通常 是 动态 分 配 的 。 换 
句 话 说 ， 每 次 计算 机 启动 时 ， 都 会 通过 动态 主机 分 配 协 议 (DHCP) 
为 其 分 配 一 个 新 的 IP 地 址 。 这 就 意味 着 ， 如 果 这 人 台 计算 机 被 注册 到 
DNS 上 ， 并 且 经 常 需要 使 用 主机 名 连接 ，DNS 服 务 器 就 必须 通过 某 种 
方法 获悉 该 计算 机 正在 使 用 的 IP 地 址 。 

由 于 动态 卫 地 址 的 逐渐 流行 ，DNS 厂 商 必须 加 以 适应 。 现 在 ， 一 
些 IP 实 现 (包括 BIND) 提供 了 动态 更 新 DNS 记录 的 功能 。 在 图 10.9 所 
示 的 典型 场景 中 ， 主 机 从 DHCP 服 务 器 获得 趾 地址， 然后 使 用 这 个 新 
地 址 更 新 DNS 服务 器 。 第 12 章 将 详细 讲解 DHCP。 


DHCP 服务 器 DNS 服务 器 


1 


图 10.9 动态 DNS 更 新 


企业 目录 系统 (比如 Microsoft 的 活动 目录 ) 在 目录 结构 中 使 用 动 
态 DNS 来 管理 DHCP 客 户 端 系统 。 动 态 DNS 服 务 在 Internet 上 也 很 常 
见 。 有 些 在 线 服务 提供 了 一 种 方法 ， 可 以 让 使 用 动态 地 址 的 计算 机 注 
册 一 个 永久 的 DNS 名 称 。 用 户 可 以 访问 这 些 服 务 ， 来 远程 连接 到 使 用 
DNS 名 称 的 家 庭 网 络 中 ， 或 者 是 运行 没有 静态 地 址 的 个 人 站 点 。 

注意 : DNS 服务 发 现 

DNS 最 近 的 另外 一 个 创新 是 DNS 服务 发 现 。 有 关 DNS 服 务 发 现 的 
详情 和 其 他 零 配 置 技术 的 介绍 ， 请 见 第 12 章 。 


10.7 NetBIOS 名 称 解 析 


NetBIOS 是 一 个 API 和 名 称 解析 系统 ， 最 初 是 由 IBM 开 发 的 ， 如 今 
在 Microsoft 的 windows 网 络 中 很 常见 。NetBIOS 名 称 就 是 你 分 配给 
Windows 计 算 机 的 名 称 。 在 资源 管理 器 和 我 的 电脑 中 ， 可 以 使 用 
NetBIOS 计 算 机 名 来 识别 计算 机 。NetBIOS 被 开发 出 来 的 目的 是 将 其 用 
于 不 使 用 TCP/IP 的 网 络 。NetBIOS 名 称 系统 在 TCP/IP 网 络 上 显得 有 点 
多 余 ， 因 为 NetBIOS 名 称 扮演 的 角色 与 主机 名 很 相似 。Microsoft 在 
Windows 2000/XP 上 不 再 将 NetBIOS 作 为 重点 ， Windows Vista 和 
Windows 7 更 是 如 此 。Microsoft 官 方 推荐 的 最 佳 做 法 是 使 用 DNS 而 不 是 
NetBIOS 名 称 解析 。 然 而 ， 最 近 的 windows 版 本 还 是 提供 了 对 NetBIOS 
名 称 解 析 技 术 的 完全 支持 。 由 于 存在 大 量 支持 NetBIOS 的 计算 机 ， 
此 ， 如 果 不 介绍 NetBIOS， 任 何 对 名 称 解析 的 讨论 都 是 不 完全 的 。 此 
外 ， 并 不 只 有 Windows 支 持 NetBIOS， 流 行 的 开源 Samba 文 件 服务 和 其 
他 独立 的 工具 也 都 支持 NetBIOS 名 称 解 析 。 

从 用 户 的 角度 看 ， 在 最 近 的 windows 版 本 中 ，NetBIOS 和 DNS 名 称 
解析 之 间 的 差别 十 分 模糊 。Windows 同 时 提供 对 这 两 种 系统 的 支持 。 
根据 用 户 的 配置 ，Windows 计 算 机 名 既 可 以 作为 DNS 类 型 的 主机 名 ， 

又 可 以 作为 NetBIOS 名 称 。 

因为 NetBIOS 通 过 广播 进行 操作 ， 所 以 小 型 网 络 上 的 用 户 将 不 必 
配置 NetBIOS 名 称 解析 (除了 需要 设置 网 络 和 分 配 计算 机 名 ) 。 在 大 
型 网 络 上 ，NetBIOS 则 比较 复杂 。 大 型 网 络 使 用 被 称 为 WINS 服 务 器 的 
NetBIOS 名 称 服务 器 将 NetBIOS 名 称 解 析 成 IP 地 址 。 用 户 还 可 以 配置 静 
态 的 LMHost 文 件 (与 DNS 下 的 主机 文件 类 似 ) 完成 名 称 解析 查找 。 下 
面 将 会 进一步 介绍 NetBIOS 名 称 解 析 。 


10.7.1 NetBIOS 名 称 解 析 的 方法 


在 TCP/IP 网 络 上 ，NetBIOS 名 称 解析 最 终 的 目的 是 为 一 个 给 定 的 
NetBIOS 名 称 提供 IP 地 址 。 

NetBIOS 名 称 是 由 15 个 字符 组 成 的 ， 例 如 Workstation1、HRServer 
和 CorpServer。 NetBIOS 不 允许 在 网 络 上 有 重复 的 计算 机 名 。 

注意 : NetBIOS 名 称 

从 技术 角度 讲 ，NetBIOS 名 称 有 16 个 字符 。 但 是 ， 第 16 个 字符 是 
由 底层 应 用 程序 使 用 的 ， 通 常 不 用 用 户 直接 配置 。 随 后 的 内 容 将 讨论 
这 些 字符 。 

NetBIOS 名 称 与 主机 名 类 似 ， 都 是 在 一 个 扁平 的 空间 内 CRAB 
次 或 者 无 法 对 名 称 进 行 限定 ) 。 在 下 面 一 部 分 中 ， 将 会 介绍 几 种 将 
NetBIOS 名 称 解析 为 相应 IP 地 址 的 方法 : 

> 基于 广播 的 名 称 解 析 ; 

> LMHosts 文 件 名 称 解 析 ; 

> WINS 名 称 解 析 。 

1. 于 广播 的 名 称 解析 

NetBIOS 名 称 解析 可 以 通过 广播 完成 。 计 算 机 会 使 用 广播 与 本 网 
段 中 其 他 所 有 机 器 联系 ， 要 求 返回 特定 计算 机 的 地 址 。 网 段 上 的 计算 
机 监听 到 广播 后 ， 只 有 指定 的 计算 机 才 会 响应 这 个 请 求 。 

这 种 名 称 解析 的 方法 被 称 为 B-Node 名 称 解 析 。 虽 然 ， 它 可 以 在 
LAN 环 境 中 很 好 地 工作 ， 但 如 果 网 络 不 仅仅 局 限 在 LAN， 这 种 方法 就 
无 法 工作 (由 于 路 由 器 会 阻止 广播 传递 ) 。 

广播 名 称 解 析 过 程 很 简单 ， 且 不 需要 安装 或 使 用 额外 的 配置 。 安 
装 上 网 卡 后 ，Windows 系 统 上 的 TCP/IP 网 络 软 件 就 可 以 使 系统 使 用 广 
播 通过 NetBIOS 名 称 解析 来 定位 其 他 的 计算 机 。 

2. LMHosts 文 件 名 称 解 析 


Windows 系 统 还 可 以 使 用 LMHosts 文 件 将 NetBIOS 名 称 解 析 成 卫 地 
址 。LMHosts 文 件 与 主机 文件 很 相似 ， 会 将 NetBIOS 名 称 与 了 地 址 天 
联 。IP 地 址 列 在 文件 的 最 左边 一 列 ， 相 应 的 计算 机 名 列 在 其 右 侧 ， 二 
者 中 间 用 至 少 一 个 空格 隔 开 ， 注 释 则 放置 在 # 符 号 之 后 。LMHosts 要 求 
IP 地 址 到 NetBIOS 名 称 之 间 的 映射 是 静态 的 。 每 台 计 算 机 上 都 分 别 保 
存 一 个 单独 的 LMHosts 文 件 。 如 果 一 台新 计算 机 加 入 了 网 络 ， 其 他 计 
算 机 就 无 法 通过 LMHosts 发 现 它 ， 除 非 手 动 为 每 个 LMHosts 文 件 添加 
相关 的 条 目 。 

在 只 有 一 个 网 段 的 网 络 上 ， 因 为 可 以 使 用 广播 完成 NetBIOS 名 称 
解析 ， 所 有 通常 不 使 用 LMHosts 文 件 。 在 由 多 个 网 段 组 成 的 大 型 网 络 
上 ， 广 播 无 法 超越 路 由 器 完成 名 称 解 析 。 所 以 ， 计 算 机 必须 使 用 
LMHosts 或 WINS 服 务 器 (在 下 一 小 节 介绍 ) 进行 NetBIOS 名 称 解 析 。 
在 一 些 情况 下 ，LMHosts 可 以 用 于 指出 其 他 网 段 上 的 域 控 制 器 (在 基 
于 域 的 Windows 环 境 中 ， 域 控制 器 需要 身份 认证 ) o 

注意 : LAN Man 

LMHosts 中 的 LM 继 承 自 Microsoft LAN Manager (一 种 比 Windows 
NT 还 要 早 的 网 络 产品 ) o 

下 面 是 一 个 基本 的 LMHosts 文 件 的 示例 : 


192.59.66.205 marketserv #file server for 
marketing 

department 

192.59.66.206 marketapp #application server for 
marketing 

192.59.66.207 bobscomputer #bob's workstation 


新 近 解 析 的 NetBIOS 名 称 都 会 被 保存 在 NetBIOS 名 称 缓存 中 。 当 用 
户 需 要 定位 某 台 特定 的 计算 机 时 ， 系 统 总 是 先 查询 NetBIOS 名 称 组 
存 ， 再 从 LMHosts 文 件 中 搜索 。 如 果 缓 存 中 没有 匹配 的 条 目 ， 系 统 会 


扫描 LMHosts 文 件 中 的 条 目 ， 查 找 是 否 有 被 请 求 的 名 称 。 如 果 
LMHosts 文 件 中 保存 的 内 容 很 多 ， 那 么 整个 过 程 将 会 比较 费时 。 
此 ， 为 了 加 快 整个 过 程 ， 可 以 为 使 用 频率 较 高 的 条 目 添 加 #PRE 关 键 词 
( 见 图 10.10) ， 以 便 将 这 些 条 目 预 先 调 入 NetBIOS 名 称 缓存 。 当 网 络 
启动 时 ， 会 对 LMHosts 文 件 进行 一 次 完整 的 扫描 ， 因 此 ， 为 了 提高 交 
率 ， 包 含有 #PRE 关 键 词 的 条 目 都 会 位 于 LMHosts 文 件 的 底部 。 这 些 条 
目 只 需要 被 读 取 一 次 ， 将 这 些 条 目 放 在 文件 的 后 面 会 减少 它们 被 重复 
读 取 的 机 会 。 

注意 : 查看 缓存 

可 以 使 用 NBTStat 工 具 碍 看 和 操作 NetBIOS 名 称 缓存 。 要 想 碍 看 缓 
存 的 内 容 ， 可 以 在 命令 提示 符 后 输入 nbtstat-co 

维护 诸如 主机 文件 和 LMHosts 文 件 这 样 的 静态 文件 是 很 困难 的 ， 
这 是 因为 这 些 文件 分 布 在 不 同 的 计算 机 上 ， 而 没有 保存 在 某 个 中 心 位 
置 。 用 户 通 过 在 关键 词 #INCLUDE 后 输入 其 他 计算 机 上 的 LMHosts X 
件 路 径 ， 可 以 处 理 上 面 的 问题 。 利 用 这 个 关键 词 ， 本 地 LMHosts 文件 
能 够 包括 基于 服务 器 的 LMHosts 文 件 ， 使 得 本 地 计算 机 同样 可 以 使 用 
这 些 文件 。 所 以 ， 通 过 对 基于 服务 器 的 LMHosts 文 件 的 编辑 ， 就 能 够 
使 网 络 上 的 变化 被 用 户 计 算 机 了 解 。 

如 果 有 多 个 杂 NCLUDE 条 目 ， 它 们 就 需要 放置 在 关键 词 #BEGIN 
ALTERNATE 和 #END ALTERNATE 之 间 ， 如 图 10.10 所 示 。 


自 imhosts ~ Notepad -lolx| 


Ele Edit Search Help 


SFPrintServer #Occasional use entries 
NYPrintServer 

LAPrintSeruver 

Mercury HPRE the remaining entries 
Venus HPRE Hare preloaded 

Earth HPRE 

Mars HPRE 

Jupiter HPRE 

Saturn HPRE 

Pluto HPRE 


ocServer HPRE #DOM:CorpDomain 
InstructorX HPRE MMuy computer 


HBEGIN ALTERNATE 

MINCLUDE \\Mainserver\public\lmhosts Muse a centralized LMHosts file 
MINCLUDE \\Backupserver\public\lmhosts alternate centralized LMHosts file 
HENO ALTERNATE] 


110.1 0LMHosts 文件 的 内 容 


前 面 提 到 ，LMHosts 常 常会 被 用 来 定位 不 同 网 段 上 的 Windows 域 
控制 器 。#DOM 关 键 词 可 以 识别 表示 域 控制 器 的 LMHosts 条 目 。 

在 Window 7 系统 中 ， 在 Windows/System32/drivers/ect 目录 中 可 
以 找到 一 个 名 为 Imhost.sam 的 LMHosts 文 件 示 例 。 为 了 实现 了 一 个 
LMHosts 文 件 ， 可 以 修改 这 个 文件 示例 ， 然 后 将 在 同一 个 目录 下 将 其 
存储 为 不 带 扩展 名 .sam 的 Imhosts。 

3. WINS 名 称 解析 

与 DNS 是 为 了 解决 主机 文件 的 缺点 而 建立 的 相同 ， 建 立 WINS 

(Windows Internet Name Service) 的 目的 同样 是 为 了 解决 LMHosts 的 

问题 。 当 客户 端 需要 获取 一 台 计 算 机 的 耻 地 址 时 ， 会 向 WINS 发 送 查 询 
以 获取 信息 。WINS 在 过 去 是 Microsoft 网 络 的 一 个 重要 特性 ， 但 是 随 着 
DNS 和 活动 目录 的 出 现 ， 人 们 对 单独 的 WINS 服务 器 的 需求 也 随 之 降 
低 。 在 某 些 网 络 中 ， 如 果 NetBIOS 名 称 解析 被 路 由 器 阻止 ， 则 可 以 使 
用 WINS 服 务 器 。 


WINS 中 维护 了 一 个 注册 了 不 同 对 象 (包括 用 户 、 计 算 机 、 计 算 
机 上 运行 的 服务 、 工 作 组 ) NetBIOS 名 称 的 数据 库 。 在 大 多 数 的 DNS 
实现 中 ， 数 据 库 中 的 条 目 都 是 手动 输入 的 ， 但 是 WINS 中 的 数据 库 与 
之 不 同 ， 它 是 当 客 户 端 计 算 机 启动 时 ， 有 客户 端 将 本 机 的 名 称 和 IP 地 
址 动态 地 注册 到 WINS 服 务 器 上 。 

WINS 服 务 器 接收 并 响应 NetBIOS 名 称 解 析 的 请 求 〈 见 图 10.11) o 
图 10.11 中 的 WINS 服 务 器 与 图 10.2 中 的 DNS 服务 器 很 相似 。 只 不 过 
WINS 服 务 器 用 于 NetBIOS 名 称 解 析 ， 而 DNS 服务 器 用 于 域名 解析 。 不 
过 ， 由 于 NetBIOS 的 名 称 空 间 是 扁平 的 ， 因 此 无 法 提供 DNS 使 用 的 层 
次 化 的 名 称 解 析 技术 。 

注意 : WINS 到 底 是 什么 ? 

WINS 是 分 配给 Microsoft 的 实现 的 一 个 名 称 ， 该 实现 通常 被 称 为 
NetBIOS 名 称 服务 器 或 NBNS。 


WINS 服务 器 
Bill 的 地 址 是 多 少 ? = 
baen | 


192.192.6.41 


去 往 : 192.192.6.41 计算 机 名 称 : Bill 


IP: 192.192.6.41 


图 10.11 WINS NetBIOS 名 称 解析 


Windows 提 供 了 多 种 配置 客户 端 使 用 WINS 的 方法 。 如 果 计 算 机 通 
过 DHCP 接 收 到 一 个 动态 的 TCP/IP 配 置 ，WINS 配 置 可 以 通过 DHCP 自 
动 提交 给 客户 端 。 用 户 也 可 以 通过 TCP/IP 配 置 对 话 框 ， 手 动 输入 
WINS 服 务 器 的 地 址 并 管理 与 NetBIOS 名 称 解 析 相 关 的 其 他 设置 。 

根据 windows 的 版 本 的 不 同 ， 配 置 WINS 的 步骤 也 有 所 差别 。 在 
Windows 7 中 ， 用 户 可 以 通过 高 级 TCP/IP 设 置 对 话 框 中 的 WINS 选 项 卡 
来 管理 WINS 配 置 ( 见 图 10.12) 。 下 面 就 是 访问 高 级 TCP/IP 设 置 对 话 
框 的 步骤 。 

1. 在 开始 菜单 上 选择 网 络 。 

2. 进入 网 络 共享 中 心 。 

3. 选择 管理 网 络 连接 。 

4. 右键 单 击 需要 配置 的 网 络 连接 ， 然 后 选择 属性 (需要 完成 管理 
员 账 户 的 验证 ) 。 

5. 选择 Internet Protocol Version 4 (TCP/IPv4) ， 单 击 属性 。 

6. 在 TCP/IPv4 属 性 对 话 框 中 ， 单 击 “ 高 级 ”按钮 。 

7. 选择 WINS 选 项 卡 。 


正如 图 10.12 所 示 ， 用 户 可 以 在 WINS 选 项 卡 中 手动 添加 WINS 服 务 
器 的 地 址 ， 也 可 以 启用 LMHosts 查 找 并 导入 一 个 已 有 的 LMHosts 文 
注意 ， 在 默认 情况 下 ， 系 统 会 接收 来 自 DHCP 服 务 器 的 NetBIOS 设 

， 但 是 通过 选择 启用 或 禁用 NetBIOS over TCP/IP 可 以 覆盖 DHCP 的 
r 


Advanced TCP/IP Settings v ii 
IP Settings | DNS | WINS 
WINS addresses, m order of use: 
Add... 
FLIA oonp ab t appt al connection 
PA abled 
Y Enable (MHOS up Import LMMOST 
Ne Bl | 
Defmdt 
pe NetBIOS seting from th se If stat addres 
ted or t ICP server d t de tilt ur 
able Net wer TCP/IP 
detBIO r TCP/IP 
sable NetBIOS over TCP/IP 
OK Cancel 


图 10.12 在 windows 7 中 配置 WINS 


当 WINS 客 户 端 计算 机 ( 即 被 配置 为 使 用 WINS 的 计算 机 ) 启动 
时 ， 会 执行 如 下 的 过 程 。 

1. 服务 启动 : 当 计算 机 启动 时 ， 会 启动 很 多 服务 ， 其 中 一 些 服务 
需要 让 其 他 计算 机 知道 。 

2. 注册 请 求 : 要 想 让 网 络 中 的 其 他 计算 机 能 够 知道 服务 已 启动 ， 
必须 注册 服务 。WINS 客 户 端 计算 机 会 将 NetBIOS 名 称 和 计算 机 的 IP 
地 址 打包 到 名 称 注册 请 求 中 ， 进 而 将 这 个 请 求 发 送 到 WINS 服 务 器 。 
在 收 到 注册 请 求 后 ，WINS 将 检查 自己 的 数据 库 ， 查 看 名 称 是 否 已 经 
被 注册 过 。 

如 果 名 称 不 存在 ，WINS 将 这 个 NetBIOS 名 称 和 1IP 地 址 对 加 入 数据 
库 ， 并 发 送 名 称 注册 响应 数据 ， 表 明 注 册 已 成 功 。 如 果 WINS 数 据 库 


中 已 经 存在 被 请 求 的 NetBIOS 名 称 ，WINS 会 发 送 一 个 信息 给 已 注册 的 
IP 地 址 。 如 果 当 前 已 注册 的 计算 机 发 回 了 响应 ， 就 向 正在 注册 的 计算 
机 发 送 一 个 拒绝 通知 。 如 果 已 注册 的 计算 机 没有 响应 ，WINS 允许 新 
的 注册 并 覆盖 调 以 前 的 注册 。 

3. MB: 假设 计算 机 使 用 WINS 成 功 注 册 了 NetBIOS 名 称 和 服 
务 ， 这 些 名 称 会 有 一 个 租 期 。 本 质 上 讲 ， 计 算 机 对 一 个 NetBIOS 名 称 
的 使 用 是 会 限制 在 一 定时 间 内 的 ， 例 如 6 天 。 但 是 ， 客 户 端 可 以 在 时 限 
到 达 前 更 新 这 个 租 期 。 客 户 端 通常 会 在 租 期 到 达 50% 更 新 这 个 租 期 ， 
即 如 果 租 期 是 6 天 ， 那 么 每 3 天 就 进行 一 次 更 新 。 

前 面 已 经 介绍 过 ，NetBIOS 名 称 的 第 16 个 字符 并 不 是 用 户 配置 
的 。 在 WINS 注 册 过 程 中 ， 在 向 WINS 数 据 库 中 添加 记录 前 ，WINS 服 
务 会 根据 计算 机 注册 的 服务 类 型 把 第 16 个 字符 加 到 名 称 上 。 由 于 存在 
不 同 的 计算 机 名 称 、 工 作 组 名 称 和 大 量 的 服务 ， 所 以 在 WINS 数 据 库 
中 存在 着 5 一 10 条 关于 同一 台 计 算 机 的 条 目 是 很 常见 的 事情 。 

WINS 名 称 解析 过 程 的 另外 一 个 例子 是 ， 假 设 用 户 在 使 用 诸如 网 
络 邻居 这 样 的 工具 连接 网 络 上 的 其 他 计算 机 。 包 含 所 需要 的 NetBIOS 
名 称 的 名 称 查 询 请 求 通常 是 由 应 用 程序 发 起 ， 并 传递 给 WINS 服 务 器 
的 。 当 WINS 接 收 到 这 个 请 求 ， 将 查询 自己 的 数据 库 ， 查 找 匹配 的 注 
册 条 目 。 如 果 发 现 了 被 请 求 的 名 称 ，WINS 会 在 响应 数据 包 中 加 入 相 
应 的 IP 地 址 。 客 户 端 计算 机 接 到 了 被 请 求 计算 机 的 IP 地 址 后 ， 可 以 直 
接 与 此 计算 机 进行 通信 。 


10.7.2 测试 NetBIOS 名 称 解析 


用 户 可 以 使 用 基于 NetBIOS 的 工具 测试 NetBIOS 名 称 解析 。 在 
Windows 系 统 中 ， 一 种 典型 的 名 称 测试 方法 是 使 用 net view 命 令 ， 该 命 
令 可 以 查看 服务 器 上 的 共享 点 (share) EM ( 记 住 ， 一 个 共享 点 就 是 
一 个 可 用 于 网 络 访问 的 目录 ) 。 要 执行 这 个 测试 ， 可 以 选择 一 台 拥有 
一 个 或 多 个 共享 点 的 计算 机 ， 在 命令 提示 符 下 输入 : 

net view \\computername 

如 果 net view 可 以 将 计算 机 名 解析 成 卫 地 址 ， 用 户 就 可 以 看 到 这 
个 命令 的 响应 所 列 出 的 共享 点 名 称 。 

用 户 也 可 以 使 用 ping 工具 测试 NetBIOS 名 称 解析 。 在 大 多 数 
Windows 系统 上 ， 如 果 NetBIOS 名 称 解 析 工 作 正 常 ， 就 可 以 在 ping 工 
具 中 通过 NetBIOS 计 算 机 名 连接 这 台 计 算 机 。 例 如 ， 如 果 一 台 计 算 机 

名 为 Shirley， 在 输入 下 面 的 命令 后 应 该 会 收 到 一 个 响应 : 

ping Shirley 


10.8 小 结 


名 称 解析 使 得 用 户 能 够 用 有 意义 的 、 容 易 记 住 的 计算 机 名 来 替代 
分 配给 计算 机 的 IP 地 址 。 本 章 介 绍 了 通过 主机 名 和 DNS 的 名 称 解 析 ， 
还 学 习 了 DNS 配置 文件 和 名 称 解析 过 程 ， 以 及 最 近 的 一 些 技术 创新 ， 
比如 动态 DNS 和 DNSSEC。 本 章 还 详细 讲解 了 NetBIOS 名 称 解 析 ， 后 
者 仍然 会 在 Windows 和 其 他 基于 SMB 的 网 络 中 用 到 。 


10.9 [15% 


问 : 什么 是 域名 ? 

E: 域名 是 用 来 识别 网 络 的 名 称 。 域 名 由 一 个 权威 的 机 构 管理 ， 
以 确保 名 称 的 唯一 性 。 

问 : 什么 是 主机 名 ? 

E: 主机 名 就 是 分 配给 特定 主机 并 被 映射 给 某 个 IP 地 址 的 一 个 唯 
一 的 名 称 。 

lA): 什么 是 FQDN? 

E: 主机 名 和 域名 的 组 合 GANAS”) 。 例 如 ， 主 机 名 是 
bigserver ， 域 名 是 mycompany.com， 那 么 FQDN 就 是 
bigserver.mycompany.como 

问 : 什么 是 DNS 资源 记录 ? 

E: 资源 记录 就 是 包含 在 DNS 区 域 文件 中 的 条 目 。 不 同 的 资源 记 
录 可 以 识别 不 同类 型 的 计算 机 或 服务 。 


10.10 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


10.10.1 问题 


" 哪 一 种 资源 记录 用 作 别 名 ? 
2. 为 什么 DS 资源 记录 和 DNSKEY 资 源 记 录 存 储 在 不 同 的 服务 器 
E? 
3. 如 何在 LMHosts 文 件 中 集中 管理 条 目 ? 
4. 如 何在 NetBIOS 名 称 缓存 中 创建 静态 的 NetBIOS 条 目 ? 


10.10.2 练习 


1. 在 计算 机 的 命令 行 中 ， 输 入 命令 ping localhost， 然 后 写 下 你 看 
到 的 IP 地 址 。 

2. 在 计算 机 的 命令 行 中 ， 输 入 命令 hostname， 然 后 写 下 返回 的 主 
机 名 。 

3. 在 计算 机 的 命令 行 中 ， 输 入 命令 ping+ 你 的 计算 机 的 主机 名 。 

4. 如 果 你 的 计算 机 有 域名 ， 请 ping 你 的 FQDN。 

5. 确定 IP 是 否 被 配置 为 使 用 DNS 服 务 器 ， 如 果 是 ， 请 尝试 如 下 的 
ping 操 作 : 

ping www.internic.net 

ping www.whitehouse.gov 

6. 使 用 NSLookup 来 连接 ISP 的 一 台 DNS 服 务 器 。 


10.11 语 


复习 下 列 关 键 术 语 : 

> DNSSEC (DNS 安全 扩展 ) : 对 DNS 查询 响应 的 真实 性 进行 验 
证 的 系统 。 

> 域 : DNS 名 称 空间 的 层次 划分 。 

> 域名 : 分 配给 DNS 名 称 空间 特定 层次 中 某 个 部 分 的 名 称 。 

> DNS (域名 系统 ) : 在 TCP/IP 网 络 中 对 资源 进行 命名 的 系统 。 

> 动态 DNS: 将 静态 DNS 名 称 与 动态 IP 地 址 相关 联 的 技术 。 

> FQDN (完全 限定 域名 ) : 主机 名 和 域名 拼接 后 形成 的 名 称 。 

> 主机 名 : 用 于 标识 计算 机 (EN) 的 名 称 。 


> 主机 文件 : 将 IP 地 址 与 主机 名 相关 联 的 文件 。 

> LMHosts: 将 IP 地 址 与 NetBIOS 名 称 相 关联 的 文件 。 

> NetBIOS: 最 初 由 IBM 开 发 的 一 个 API 和 名 称 解析 系统 ， 主 要 
在 Microsoft 网 络 中 使 用 。 在 最 近 几 年 ，NetBIOS 名 称 系统 的 作用 日 渐 
式微 ， 但 是 在 许多 Windows 网 络 和 某 些 非 Windows 的 SMB/CIFS 网 络 中 
仍然 有 用 武之 地 。 

> 资源 记录 : 添加 到 区 域 文件 中 的 条 目 。 资 源 记录 的 类 型 有 多 
种 ， 每 种 类 型 有 不 同 的 用 处 。 

> WINS (Windows Internet 命 名 服务 ) : WINS 服 务 是 Microsoft 
NetBIOS 名 称 服务 器 的 实现 。 

> 区 域 文 件 : DNS 服务 器 使 用 的 配置 文件 ， 这 个 文本 文件 被 用 于 
配置 DNS 服务 器 。 


118% TCP/IP 


本 章 介绍 如 下 内 容 : 

> 防火 墙 和 代理 服务 ，; 

> 网 络 入 侵 技术 ; 

> 网 络 安全 最 佳 做 法 ; 

> 加 密 ，; 

> 数字 签名 ， 

> VPN; 

” Kerberoso 

如 今 的 用 户 都 意识 到 Intenet 上 潜伏 着 危险 ， 有 不 法 之 徒 在 伺机 
窃取 信息 或 访问 你 的 系统 ， 他 们 或 是 为 了 金钱 ， 或 是 仅仅 为 了 享受 因 
此 市 来 的 成 就 感 。 无 论 哪 种 情况 ， 你 都 需要 谨慎 行事 ， 并 采取 预防 措 
施 ， 以 保护 你 的 网 络 。 

本 章 将 讲解 用 来 保护 TCP/IP 网 络 的 一 些 工具 和 技术 ， 并 介绍 入 侵 
者 为 突破 Internet 防 御 而 采用 的 一 些 技术 。 第 一 节 将 讲解 对 所 有 安全 系 
统 都 至 关 重要 的 组 件 一 一 网 络 防 火 墙 。 


11.1 TAZNE 


EER, VABERTAERETITRSER, MWERTFANS 
的 防火 墙 设 备 是 经 过 长 期 发 展 的 结果 〈 要 知道， 在 网 络 空间 中 ，28 年 
是 一 个 相当 长 的 时 间 ) 。 

防火 墙 就 是 一 个 放置 在 网 络 路 径 上 的 设备 ， 这 样 ， 它 可 以 检查 、 
接受 或 拒绝 打算 进入 网 络 的 数据 包 。 这 听 起 来 有 点 像 路 由 器 。 实 际 
上 ， 虽 然 防火 墙 并 不 一 定 是 一 个 路 由 器 ， 但 是 防火 墙 的 功能 通常 会 被 
集成 到 路 由 器 上 。 防 火 墙 与 传统 的 路 由 器 最 重要 的 区 别 是 传统 路 由 器 
会 尽 可 能 转发 数据 包 ， 而 防火 墙 则 只 转发 自己 认可 的 数据 包 。 对 数据 
包 的 转发 决定 不 再 是 仪 基于 地 址 ， 而 是 基于 网 络 所 有 者 配置 的 一 组 规 
则 ， 这 些 规 则 可 以 确定 哪些 流量 类 型 能 被 网 络 所 允许 。 

甚至 当 你 查看 最 简单 的 防火 墙 环境 〈 见 图 11.1) 时 ， 也 能 够 轻易 
地 发 现 防火 墙 的 价值 。 可 以 看 到 ， 防 火 墙 可 以 阻止 任何 或 者 所 有 的 外 
界 流 量 进入 网 络 ， 但 是 它 并 干涉 内 部 网 络 中 的 通信 。 


图 11.1 防火 墙 可 以 阻止 任何 或 所 有 的 流量 进入 本 地 网 络 


最 早 的 防火 墙 是 数据 包 过 滤器 。 它 通过 检查 数据 包 来 找 出 该 数据 
包 的 企图 。 在 第 6 章 讲 到 ， 许 多 包 过 滤 防 火 墙 会 查看 封装 在 传输 层 报 头 
中 的 TCP 和 UDP 端口 号 。 因 为 大 多 数 的 Internet 服 务 都 与 端口 号 相关 
联 ， 因 此 通过 检查 数据 包 的 目的 端口 号 可 以 确定 数据 包 的 企图 。 这 种 
形式 的 数据 包 过 滤 可 以 让 管理 员 声 称 “ 外 部 的 客户 端 无 法 访问 内 部 网 络 
上 的 Telnet 服务 ”， 至 少 不 能 访问 使 用 熟知 端口 号 的 Telnet 服 务 。 

这 种 控制 方法 比 以 前 的 有 很 大 的 进步 ， 迄 今 为 止 已 经 挡住 了 很 多 
类 型 的 攻击 ; 然而 ， 包 过 滤 技 术 仍 然 不 是 一 个 完美 的 解决 方案 。 首 
先 ， 打 入 内 部 网 络 的 入 侵 者 可 以 偷偷 地 将 网 络 服务 所 使 用 的 端口 号 进 
行 重新 配置 。 例 如 ， 如 果 将 防火 墙 配置 为 检查 TCP 端 口 23 上 的 Telnet 会 
话 ， 而 入 侵 者 秘密 建立 了 一 个 使 用 不 同 端口 号 的 Telnet 服 务 ， 那 么 ， 仪 
IME FAA A in WARS AHA) eA. 

在 防火 墙 的 进化 过 程 中 ， 出 现 了 另外 一 种 称 之 为 有 状态 防火 墙 的 
设备 。 有 状态 防火 墙 不 仅仅 是 单独 检查 每 一 个 数据 包 ， 还 会 检查 数据 
包 包 含 在 哪个 通信 会 话 序列 中 。 这 种 状态 敏感 性 有 助 于 有 状态 防火 墙 


监视 诸如 无 效 数 据 包 、 会 话 劫持 企图 ， 以 及 某 些 拒绝 服务 攻击 这 样 的 
攻击 手段 。 

应 用 层 防 火 墙 是 最 新 一 代 防 火 墙 。 这 种 防火 墙 是 在 TCP/IP 应 用 层 
工作 的 ， 在 这 里 可 以 更 全 面 地 理解 与 协议 和 服务 相关 联 的 数据 包 。 

当代 的 防火 墙 通常 是 包 过 技术 、 状 态 碍 看 和 应 用 层 过 滤 技术 的 组 
合 。 一 些 防火 墙 还 可 以 作为 DHCP 服 务 器 和 网 络 地 址 转换 工具 。 防 火 
墙 可 以 是 硬件 也 可 以 是 软件 ， 既 可 以 简单 又 可 以 复杂 ， 但 是 ， 无 论 你 
是 管理 着 上 于 个 节点 组 成 的 网 络 ， 还 是 只 使 用 一 台 单 独 的 计算 机 ， 只 
要 计划 连接 Internet， 最 好 都 需要 对 防火 场 有 基本 的 理解 。 


尽管 防火 墙 是 提供 给 IT 专业 人 士 的 工具 ， 但 是 随 着 网 络 入 侵 爱 好 
的 兴起 和 自动 端口 扫描 器 (可 以 随机 地 搜索 Internet 网 络 上 开放 的 端 
O) 的 出 现 ， 为 单 用 户 系统 开发 个 人 防火 墙 显 得 越 来 越 重要 。 现 在 ， 
Windows, Mac 和 Linux 这 些 系统 都 提供 了 个 人 桌面 防火 墙 ， 用 于 阻 
止 对 系统 上 特定 端口 和 服务 的 访问 。 当 然 ， 终 端 用 户 的 客户 端 系统 通 
常 都 不 会 运行 很 多 网 络 服务 ， 使 用 防火 墙 显 得 有 些 多 余 (为 什么 需要 
为 没有 运行 的 服务 关闭 端口 呢 ? ) 。 但 是 ， 事 实 上 ， 当 今 的 计算 机 系 
统 是 如 此 的 复杂 ， 以 至 于 系统 用 户 有 时 并 不 能 确定 当前 系统 正在 运行 
哪些 服务 。 甚 至 普通 的 文件 和 打印 共享 从 理论 上 来 讲 ， 都 为 攻击 开启 
了 方便 之 门 。 而 且 ， 针 对 计算 机 发 起 的 攻击 有 时 是 很 狐 独 的 ， 因 此 很 
难 确定 系统 是 否 真 的 安全 。 使 用 个 人 防火 墙 是 一 个 很 好 的 想法 ， 尤 其 
是 对 那些 没有 位 于 防火 墙 系统 之 后 的 计算 机 更 是 如 此 。 

更 复杂 的 防火 墙 设备 是 防火 墙 /路 由 器 设备 ， 它 们 可 以 用 户 小 型 办 
公 室 /家 庭 办 公 室 (SOHO) 网 络 。 这 些 工 具 通 常会 提供 DHCP 服务 和 
网 络 地 址 转换 。 它 们 在 运行 时 更 像 图 11.1 中 描述 的 那 种 经 典 的 防火 墙 

景 ， 它 们 允许 内 部 的 客户 端 访 问 内 部 网 络 上 的 服务 ， 但 阻止 来 自 于 
外 部 的 访问 。 

使 用 SOHO 防 火 墙 (和 个 人 防火 墙 ， 存在 的 一 个 问题 是 ， 这 些 防 
火 墙 是 为 非 专 业 人 士 设 计 的 ， 因 此 几乎 没有 配置 选项 ， 用 户 通 常 也 无 
法 弄 清 它们 使 用 了 什么 技术 来 过 滤 协 议 流 量 。 安 全 专家 并 不 认为 这 些 
设备 是 彻底 安全 的 ， 但 是 ， 有 总 比 没 有 强 。 

另外 一 种 选择 是 使 用 一 台 计 算 机 作为 网 络 防火 墙 〈 像 防火 墙 / 路 由 
器 设备 那样 ) 。UNIX/Linux 系统 带 有 高 级 的 防火 墙 功能 。Windows A 
统 的 某 些 特定 版 本 也 提供 了 防火 墙 。 注 意 ， 作 为 网 络 防 火 墙 的 计算 机 
与 前 面 讲解 的 个 人 防火 墙 是 不 相同 的 。 此 时 ， 计 算 机 不 再 只 过 滤 到 达 


本 机 的 流量 ， 而 是 充当 整个 网 络 的 防火 墙 。 要 想 完 成 这 项 工作 ， 系 统 
必须 安装 两 个 或 多 个 网 卡 ， 并 且 配 置 进行 转发 的 端口 ， 系 统 实际 上 承 
担 了 路 由 器 的 功能 。 如 果 有 一 台 空 闪 的 计算 机 ， 这 种 方法 可 以 提供 比 
使 用 典型 的 SOHO 防 火 墙 更 高 级 的 解决 方案 。 当 然 ， 用 户 也 需要 对 自 
己 的 操作 有 所 了 解 。 

如 果 具 有 专业 的 管理 防火 墙 的 能 力 ， 可 以 使 用 一 些 商业 防火 墙 设 
备 。 专 业 级 别 的 防火 墙 / 路 由 器 比 SOHO 类 型 的 更 先进 。 尽 管 外 观 不 
同 ， 但 这 些 设备 实际 上 更 像 基 于 计算 机 的 防火 墙 。 大 多 数 工 业 防火 墙 
设备 都 家 入 了 计算 机 系统 。 在 本 章 的 后 续 部 分 将 会 介绍 ， 商 业 防 火 墙 
和 防火 墙 计算 机 使 用 户 能 够 通过 配置 自 定义 的 过 滤 规 则 来 允许 或 拒绝 
网 络 流量 。 这 些 工 具 是 十 分 强大 和 复杂 的 ， 这 一 点 不 是 通过 复 选 框 进 
行 设置 的 OHO 或 者 个 人 防火 墙 所 能 比拟 的 。 所 以 使 用 这 些 工具 需要 
更 丰富 的 知识 ， 同 时 ， 也 需要 人 花费 更 多 的 精力 才能 保证 配置 的 正确 
性 。 


11.1.2 DMZ 


防火 墙 为 内 部 网 络 提供 了 一 个 受 保护 的 空间 ， 使 网 络 很 难 从 外 部 
进行 访问 。 这 个 概念 对 于 Web 客 户 端 工作 组 (其 中 包含 少量 满足 内 部 
需要 的 文件 服务 器 ) 是 很 适合 的 。 不 过 ， 在 很 多 情况 下 ， 一 个 公司 通 
常 不 会 禁止 外 部 网 络 访问 自己 的 所 有 资源 。 例 如 ， 需 要 从 外 部 访问 的 
公共 Web 服 务 器 。 许 多 公司 还 安装 了 FTP 服 务 器 、E-mail 服 务 器 和 其 他 
需要 从 Internet 访 问 的 系统 。 尽 管 从 理论 上 讲 ， 只 要 开放 防火 墙 的 新 口 
就 可 以 允许 外 部 客户 访问 特定 系统 上 的 特定 服务 ， 但 是 ， 这 也 就 是 
说 ， 服 务 器 可 以 从 外 部 进行 操作 ， 其 结果 是 导致 一 系列 网 络 管理 员 不 
希望 看 到 的 流量 和 安全 性 问题 。 

一 种 比较 简单 的 解决 方案 是 ， 将 需要 被 Internet 访问 的 服务 放 在 
防火 墙 之 外 ( 见 图 12.2) ， 这 种 方案 要 求 服 务 器 (例如 Web 服务 器 ) 
必须 首先 经 过 严格 的 检查 ， 确 保 它 们 是 真正 安全 的 ， 然 后 再 放置 在 开 
放 的 Internet 环 境 中 (防火 墙 之 前 ) ， 使 之 与 内 部 网 上 的 客户 端 隔离 ， 
并 能 够 接收 Internet 请 求 。 理 论 上 ， 只 要 适当 地 配置 了 服务 器 ， 就 能 
够 保护 服务 器 免 受 来 自 于 Internet 的 攻击 。 此 时 ， 只 能 打开 基本 的 端 
口 ， 并 运行 基本 的 服务 。 理 想 状 态 下 ， 安 全 系统 在 配置 之 后 ， 即 使 有 
攻击 者 可 以 访问 到 系统 ， 他 们 的 权限 也 会 受到 限制 。 当 然 ， 这 样 的 预 
防 措施 并 不 能 保证 系统 不 会 受到 攻击 ， 但 是 这 样 做 是 基于 如 下 的 理 
论 : 如 果 系 统 被 攻破 了 ， 那 么 ， 进 入 Web 服 务 器 的 入 侵 者 仍然 需要 通 
过 防火 墙 才能 到 达 内 部 网 络 。 


图 11.2 Web 服务 器 和 其 他 面向 Internet 的 计算 机 通常 放置 在 防火 墙 的 外 
A 


这 种 将 本 地 资产 放 在 防火 墙 之 后 ， 将 通过 Internet 访 问 的 资产 放置 
在 防火 墙 之 前 的 技术 在 很 多 小 型 网 络 中 很 常用 。 然 而 ， 拥 有 专业 级 别 
的 IT 管理 和 安全 性 的 大 型 网 络 则 会 使 用 更 具 优点 的 方法 。 另 外 替代 方 
案 (相对 于 图 11.2 所 示 方 案 ) 是 使 用 两 个 防火 墙 一 一 一 个 防火 墙 位 于 
Internet 服 务 器 之 前 ， 另 一 个 位 于 它们 之 后 。 前 端 防火 墙 可 以 提供 第 一 
个 安全 层 ， 很 明显 ， 这 层 防 火 允 许 对 服务 器 的 连接 ， 后 端 防火 墙 则 提 
供 了 更 严密 的 保护 ， 确 保本 地 网 络 资源 的 安全 。 两 个 防火 墙 之 间 的 空 
间 被 称 为 DMZ (一 个 军事 术语 Demilitarized Zone， 非 军事 地 
$) 。 与 开放 的 Pnternet 相 比 ，DMZ 可 以 提供 更 好 的 安全 性 ， 但 是 其 安 
全 性 比 内 部 网 络 低 。 

图 11.3 所 示 的 场景 还 可 能 出 现下 面 的 情况 : 只 使 用 一 个 能 够 连接 
多 个 网 段 的 防火 墙 。 如 图 11.4 所 示 ， 如 果 防 火 墙 /路 由 器 有 3 个 或 更 多 个 
接口 ， 可 以 将 内 部 网 络 和 DMZ 分 别 连接 到 这 些 接口 上 ， 同 时 为 每 个 接 
口 应 用 不 同 的 过 滤 规 则 。 
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图 11.4 对 于 一 个 至 少 有 3 个 借口 的 防火 墙 ， 如 果 为 每 一 个 网 段 配 置 不 
同 的 防火 墙 规 则 ， 也 就 相当 于 提供 了 DMZ 


11.1.3 HIERHIN 


个 人 防火 墙 和 其 他 小 型 的 基于 GUI 的 防火 墙 工具 允许 用 户 通过 点 
选 选 项 框 (ME 11.5) 来 定义 防火 墙 的 过 滤 特 性 。 高 级 的 、 工 业 级 别 
的 防火 墙 工 具 可 以 让 用 户 创 建 一 个 配置 文件 ， 其 中 防火 墙 的 配置 采用 
一 系列 领 命 或 定义 了 防火 墙 行为 的 规则 来 描述 。 这 些 命令 或 规则 称 为 
防火 墙 规则 。 虽 然 不 同 的 工具 使 用 不 同 的 命令 和 语法 ， 但 是 通常 允许 
网 络 管理 员 创 建 的 内 容 包括 : 
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图 11.5 大 多 数 SOHO 防火 墙 允 许 用 户 通过 名 称 或 端口 号 来 阻 断 服务 


> 资源 地 址 或 地 址 范围 ; 

> 目的 地 址 范围 ， 

> 服务 ; 

行为 。 

这 些 参 数 提供 了 大 量 选 项 。 用 户 可 以 关闭 所 有 来 自 或 去 往 特定 地 
址 范围 的 流量 。 可 以 关闭 来 自 于 特定 地 址 的 特定 服务 ， 例 如 Telnet 或 
FTP。 还 可 以 关闭 来 自 于 所 有 地 址 的 某 项 服务 。 处 理 规则 可 以 是 “ 接 
=” “拒绝 ”或 任何 其 他 选项 。 有 时 ， 防 火 墙 规则 甚至 可 以 应 用 特定 的 
扩展 或 脚本 ， 规 则 也 可 以 是 在 出 现 故障 时 ， 向 防火 墙 管理 员 发 出 警告 
页 面 或 电子 邮件 。 


与 仅仅 通过 端口 号 关闭 或 打开 服务 相 比 ， 这 些 参 数 的 组 合 能 够 提 
供 更 大 的 灵活 性 。 


11.1.4 代理 服务 

所 有 用 来 保护 和 简化 内 部 网 络 ， 将 潜在 的 不 安全 Internet 活 动 限制 
在 边界 之 外 的 技术 中 ， 防 火 墙 是 核心 技术 。 另 一 种 相关 的 技术 是 代理 
服务 。 代 理 服务 器 可 以 截获 对 Internet 资源 的 请 求 ， 并 替代 客户 端 转 
发 这 些 请 求 ， 它 在 客户 端 和 请 求 的 目的 服务 器 之 间 扮 演 了 一 个 中 介 的 
角色 ( 见 图 11.6) 。 尽 管 代理 服务 器 不 足以 通过 自己 包含 网 络 ， 但 是 
它 通 常 被 用 于 与 防火 墙 联合 使 用 (尤其 是 在 网 络 地 址 转换 环境 中 ) 。 


代理 代理 一 
服务 器 客户 端 


图 11.6 理 服务 器 代表 客户 端 请 求 服务 


通过 代表 客户 端 发 送 和 接收 Internet 请 求 ， 代 理 服务 器 可 以 使 客 
户 端 免 于 直接 与 恶意 网 站 联系 。 一 些 代 理 还 可 以 执行 内 容 过 滤 ， 查 看 
信息 是 否 来 自 于 黑 名 单 上 的 服务 器 ， 或 者 内 容 是 否 带 有 潜在 的 危险 。 
代理 服务 器 还 常 被 用 来 限制 内 部 网 络 客户 端的 浏览 范围 。 例 如 ， 校 园 
网 可 能 会 使 用 代理 服务 器 阻止 学 生 访 问 不 恨 网 站 。 

在 很 多 情况 下 ， 使 用 代理 服务 器 的 主要 目的 是 性 能 ， 而 非 安 全 
性 。 代 理 服务 器 可 以 执行 对 服务 的 内 容 缓存 。 内 容 缓 存 代理 服务 器 会 
保存 被 访问 过 的 网 页 的 拷贝 。 对 这 些 网 页 的 再 次 请 求 将 直接 用 本 地 拷 
贝 响应 ， 这 比 从 Internet 上 响应 要 快 得 多 。 这 样 做 看 上 去 有 很 多 问题 ， 
仅仅 在 用 户 两 次 访问 相同 网 站 时 才 会 有 所 帮助 ， 但 是 如 果 考 虑 到 特定 
用 户 的 浏览 习惯 ， 即 习惯 于 在 对 一 个 网 站 多 次 浏览 ， 每 一 个 页 面 都 访 
问 不 止 一 次 ， 或 者 只 离开 页 面 很 短 时 间 融 再 次 返回 来 说 ， 这 就 很 有 帮 
助 了 。 在 释放 缓存 和 请 求 更 新 网 页 之 前 ， 网 页 在 代理 服务 器 上 的 保存 
时 间 是 有 一 定 间隔 的 。 


11.1.5 AIT E 

传统 意义 上 的 代理 服务 器 在 一 节 中 描述 ) 代理 的 是 向 外 发 送 到 
Internet 上 的 请 求 。 另 一 种 形式 的 代理 服务 器 被 称 为 逆向 代理 ， 它 接收 
来 自 外 部 资源 的 请 求 ， 将 这 些 请 求 转发 给 内 部 网 络 。 与 常规 的 代理 服 
务 器 相同 ， 逆 向 代理 也 提供 缓存 和 内 容 过 滤 特 性 。 因 为 逆向 代理 主要 
用 于 保证 计算 机 和 能够 在 Internet 上 提供 服务 ， 因 此 安全 性 特别 重要 。 

逆向 代理 系统 隐藏 了 响应 客户 端 请 求 的 计算 机 的 细节 。 逆 向 代理 
可 以 通过 缓存 大 量 文件 或 频繁 被 访问 的 文件 来 提升 性 能 。 逆 向 代理 有 
时 还 被 用 于 提供 负载 平衡 。 例 如 ， 逆 向 代理 可 以 接收 针对 一 个 Web 地 
址 的 请 求 ， 将 这 些 负载 分 配给 多 个 服务 器 。 


11.2 攻击 技术 


Internet 的 发 展 已 经 为 入 侵 者 盗 取 秘 密 、 算 改 网 站 、 窍 取信 用 卡 信 
息 或 者 通常 的 恶作剧 创造 了 无 限 的 机 会 。Internet 入 侵 者 还 创造 了 一 个 
全 新 的 神话 ， 他 们 因 其 技能 和 勇气 而 驰名 天 下 ， 其 中 部 分 归功 于 这 些 
带宽 盗贼 崇高 的 艺术 和 政治 动机 。 但 是 ， 安 装 和 维护 计算 机 网 络 的 专 
业 人 士 是 不 会 被 网 络 入 侵 者 的 行为 深 深 打动 的 。 

安装 了 防火 墙 并 不 意味 着 你 的 网 络 就 是 安全 的 。 下 面 的 内 容 将 介 
绍 攻击 者 用 来 获取 计算 机 系统 控制 权 的 一 些 技术 。 在 学 习 这 些 技术 
时 ， 你 将 注意 到 ， 许 多 概念 都 是 围绕 前 面 章节 中 所 讲解 的 TCP/IP 基 本 
特性 而 构建 的 。Internet 文 学 充满 着 对 这 些 入 侵 者 的 身份 及 其 思考 方式 
的 含糊 的 心理 剖析 。 许 多 这 样 的 信息 均 基 于 轶 事 和 推测 。 不 过 ， 大 家 
一 般 都 认同 ， 计 算 机 攻击 者 往往 属于 以 下 几 大 类 。 

> 青少年 业余 爱好 者 : 这 些 只 是 胡闹 的 孩子 。 这 些 所 谓 的 脚本 小 
子 (script kiddies) 通常 只 有 计算 机 系统 的 基本 知识 ， 而 且 主 要 只 是 应 
用 从 Internet 上 搞 到 的 入 侵 脚 本 和 技术 。 

> 消 遗 性 入 侵 者 : 这 个 “成 年 人 ”攻击 者 的 分 类 具有 广泛 的 攻击 动 
机 。 其 中 的 绝 大 多 数 只 是 纯粹 为 了 进行 智力 挑战 。 他 们 中 的 有 些 人 希 
望 对 某 个 特定 行业 或 者 组 织 做 出 声明 ， 还 一 些 人 员 则 是 对 公司 不 满 的 
前 任 雇 员 。 还 有 一 群 行事 随意 的 准 专 业 级 别 的 游手好闲 之 徒 也 属于 该 
分 类 ， 他 们 入 侵 系 统 后 窃取 银行 密码 、 信 用 卡号 ， 或 是 将 入 侵 方 法 出 
售 给 较为 高 端的 专业 人 士 ， 并 按照 入 侵 次 数 来 获取 赏 金 。 

> 专业 人 士 : 这 个 危险 的 团体 由 经 验 丰 富 的 专家 组 成 ， 他 们 对 计 
算 机 非常 了 解 。 这 些 人 很 难 跟踪 ， 因 为 他 们 知道 几乎 所 有 的 技巧 。 事 
实 上 ， 就 是 他 们 发 明了 其 中 的 一 些 技巧 。 这 些 入 侵 者 从 事 这 一 行 ， 完 
全 是 为 了 财务 奖赏 ， 但 是 如 果 他 们 不 热爱 自己 所 做 的 事 ， 也 就 不 能 
功 入 侵 。 这 些 专 业 人 士 中 的 许多 人 ， 专 心 于 信用 卡 话 骗 和 身份 盗用 这 


样 的 活动 。 近 期 ， 攻 击 家 庭 计算 机 ， 以 征用 系统 ， 用 于 发 送 垃圾 邮件 
的 趋势 一 直 呈 上 升 态势 。 

入 侵 者 用 来 获得 计算 机 系统 访问 权 的 所 有 各 种 骗局 和 诡计 ， 不 可 
能 在 这 里 一 一 吉 括 。 在 学 习 下 面 所 描述 的 这 些 技术 时 ， 请 牢记 计算 机 
安全 的 最 重要 规则 : 如 果 你 认为 已 经 受 善 保护 了 自己 的 网 络 ， 请 再 想 
一 想 ， 外 面 正 有 人 花费 大 量 时 间 和 精力 试图 找 出 一 种 新 的 方式 疤 进 来 
呢 。 


11.3 Aa 2 


正如 上 一 节 所 提 六 的 那样 ， 网 络 攻击 者 出 于 许多 动机 来 达成 其 诡 
计 。 他 们 的 目的 可 能 不 同 ， 但 是 他 们 都 有 获得 某 一 计算 机 系统 或 网 络 
的 权力 与 控制 的 目的 。 因 此 ， 他 们 发 动 攻 击 的 许多 中 间 步 骤 也 完全 相 
同 。 

计算 机 攻击 和 渗透 过 程 一 般 围 绕 下 列 步 骤 进 行 。 

1. 取得 系统 访问 权 。 

2. 取得 权限 。 

3. 四 处 闲 竹 。 

4. 准备 好 下 一 轮 攻 击 。 

还 需要 注意 的 是 ， 对 于 协同 的 和 有 组 织 的 计算 机 网 络 攻击 来 说 ， 
在 进行 这 些 步 骤 之 前 ， 通 常 还 会 有 一 个 单独 的 侦察 阶段 。 

攻击 者 有 若干 种 方法 来 获得 入 口 和 取得 足够 的 权限 ， 尽 管 不 可 能 
首 述 全 它们 ， 但 是 可 以 把 这 些 技术 分 为 3 个 基本 的 类 别 。 

> 证 书 攻击 : 这 些 攻击 集中 在 获得 证 书 以 正常 进入 系统 。 在 本 质 
上 ， 这 种 攻击 甚至 发 生 在 入 侵 者 渗入 安全 系统 之 前 。 这 一 技术 的 一 种 
变型 是 权限 提升 ， 即 攻击 者 先 获得 低级 别 的 访问 权 ， 然 后 再 设法 获得 
更 高 的 权限 级 别 。 

> 网 络 层 攻击 : 攻击 者 通过 找到 一 个 开放 的 端口 、 无 保护 的 服务 
或 者 是 防火 墙 中 的 缺口 偷偷 进入 。 其 他 网 络 层 攻击 技术 利用 TCP/IP 协 
议 系统 的 细微 差别 ， 以 获得 信息 或 重新 路 由 连接 。 

> 应 用 层 攻 击 : 攻击 者 利用 系统 上 运行 的 某 个 应 用 程序 (例如 
Web 服 务 器 ) 的 代码 中 的 已 知 缺 陷 ， 欺 骗 该 应 用 程序 执行 任意 命令 ， 
或 者 是 以 一 种 程序 设计 人 员 从 未 想到 的 方式 运行 。 

一 次 全 面 的 网 络 入侵 ， 通 常 组 合 使 用 这 些 攻击 技术 。 典 型 情况 
下 ， 攻 击 者 可 能 会 使 用 应 用 层 攻 击 作为 最 初 的 突破 ， 然 后 把 权限 逐步 


提升 至 管理 员 级 地 位 ， 再 接着 打开 一 个 隐藏 的 后 门 ， 以 便 无 限制 地 访 
问 整个 系统 。 

“后 门 * 是 入 侵 者 以 未 被 发 现 的 方式 登录 到 系统 中 的 一 种 技术 。 入 
侵 者 可 以 使 用 多 种 不 同类 型 的 后 门 。 在 本 章 后 面 将 会 讲 到 ， 入 侵 者 通 
常会 尝试 安装 一 个 rootkit 来 在 系统 上 找到 一 个 立足 点 ， 然 后 再 掩盖 入 
侵 。 但 是 入 侵 者 并 不 仅仅 满足 于 访问 系统 。 另 外 一 种 强大 的 攻击 技术 
尽管 不 可 以 用 来 访问 网 络 ， 但 是 具有 很 强 的 破坏 性 ， 这 就 是 拒绝 服务 
攻击 ， 攻 击 者 可 以 利用 该 扩 术 来 迫使 系统 朋 冲 或 过 载 ， 从 而 导致 系统 
无 法 正常 工作 。 本 章 后 面 会 详细 讲解 拒绝 服务 攻击 。 

对 于 某 个 公司 网 络 的 全 面 攻 击 ， 一 般 会 从 一 次 广泛 的 扫描 开始 ， 
以 确定 尽 可 能 多 有 关 该 公司 的 信息 。 这 个 过 程 有 时 被 称 为 
footprinting。 这 些 信息 中 的 一 部 分 可 以 在 Web 上 搜集 到 : 公司 位 置 、E- 
mail 地 址 和 附属 机 构 ， 以 及 指向 其 他 网 站 的 链接 。 入 侵 者 会 试图 获得 
该 公司 使 用 的 所 有 域名 。 这 些 域名 接着 将 被 用 来 向 DNS 服务 器 询问 公 
司 IP 地 址 。 

网 络 安 全 扫描 仪 (比如 Nmap) 可 以 扫描 网 络 的 周边 ， 以 查找 开 
放 的 端口 或 其 他 潜在 的 攻击 矢量 (在 安全 业界 一 个 很 大 的 讽刺 是 ，IT 
专业 人 员 和 网 络 入 侵 者 使 用 的 工具 相同 。 管 理 员 通 常 使 用 Nmap 来 扫描 
他 们 自己 的 网 络 ， 其 目的 是 先 于 入 侵 者 找到 网 络 漏洞 ) o 

在 现代 网 络 中 ， 第 一 步 通 常 是 查找 在 开放 端口 上 运行 的 服务 ， 比 
如 Web 服 务 器 ， 然 后 利用 应 用 层 攻 击 来 探寻 服务 中 的 漏洞 。 然 而 ， 一 
个 好 的 攻击 者 会 根据 情况 采用 不 同 的 攻击 方式 。 下 面 的 小 节 将 讲解 攻 
击 者 经 常 使 用 的 一 些 攻击 工具 。 


11.3.1 证 书 攻击 

获得 计算 机 系统 访问 权限 的 典型 方式 是 找 出 密码 ， 然 后 登录 。 取 
得 某 个 系统 交互 式 入 口 的 入 侵 者 ， 可 以 利用 其 他 技术 构建 系统 权限 。 
因此 ， 找 到 一 个 密码 (任何 密码 ) 通常 是 问 入 某 个 网 络 的 第 一 步 。 获 
得 密码 的 方法 ， 从 高 科技 的 (密码 破解 词典 脚本 和 解密 程序 ) ， 一 直 
到 极端 低 技术 的 (在 垃圾 桶 里 四 处 发 所 和 偷 看 用 户 办 公 桌 抽 居 ) ‚fr 
么 都 有 。 一 些 常见 的 密码 攻击 方法 包括 : 

> 看 看 机 箱 外 面 ; 

> 特洛伊 木马 ; 


> 猜测 ; 


> HN. 
下 面 几 个 小 节 将 讨论 这 些 暗中 获取 用 户 密码 的 方法 。 
1. 看 看 机 箱 外 面 


不 管 您 的 系统 有 多 么 安全 ， 您 的 网 络 也 不 会 安全 ， 除 非 用 户 都 会 
保护 他 们 的 密码 。 密 码 泄露 的 一 个 主要 源头 ， 就 是 用 户 的 不 注意 。 最 
早 的 入 侵 者 ， 通 常 通过 寻找 丢弃 的 计算 机 打印 输出 中 的 线索 来 获得 密 
码 。 令 入 欣慰 的 是 ， 从 那 时 以 来 ， 操 作 系统 厂商 在 保护 密码 信息 方 
面 ， 已 经 变 得 更 加 老练 。 然 而 ， 密 码 泄露 事件 的 相当 一 部 分 仍然 是 由 
离线 检测 引起 的 。 很 多 用 户 把 他 们 的 密码 告诉 其 他 用 户 ， 或 者 是 在 某 
些 别人 容易 接近 的 地 方 写 下 他 们 的 密码 。 工 作 场 所 的 物理 安全 ， 常 常 
远 不 如 网 络 安全 那么 严格 。 大 楼 管理 员 、 不 满 的 同事 ， 或 者 甚至 是 未 
经 许可 的 外 人 ， 经 常 可 以 自由 地 溜 进 无 人 监管 的 办 公 室 ， 寻 找 密码 线 
索 。 当 一 名 工作 人 员 辞 职 或 者 是 被 解雇 时 ， 该 工作 人 员 的 账户 将 被 释 
放 ， 但 是 如 果 有 用 户 和 那 名 前 任 员工 分 享 过 自己 的 密码 ， 那 么 他 们 的 
BERFKFZEZHIE? 


一 些 经 验 丰 富 的 入 侵 者 擅 于 让 用 户 展现 其 密码 ， 或 者 是 让 网 络 管 
理 员 告诉 他 们 密码 。 他 们 会 呼叫 技术 支援 中 心 (help desk) , RFA 
点 不 知 所 措 ， 并 且说 :“ 鸣 鸣 ， 我 忘 了 我 的 密码 。” 这 听 上 去 有 点 愚 
蠢 ， 但 是 却 能 节省 入 侵 者 大 量 的 精力 ， 因 此 他 通常 首先 会 党 试 这 样 
做 。 每 一 个 公司 都 应 该 明确 指示 计算 机 专业 人 员 ， 不 要 在 没有 采取 措 
施 确保 相应 的 请 求 为 合法 的 情况 下 ， 把 密码 信息 展现 给 任何 用 户 。 

本 章 后 面 将 会 讲 到 ， 入 侵 者 的 最 终 目的 是 取得 管理 员 级 别 的 权 
限 。 每 一 个 密码 都 应 该 得 到 保护 ， 因 为 任何 访问 权 通 常 都 可 以 通 向 管 
理 员 访问 权 ， 但 是 尤其 重要 的 是 要 保护 管理 员 账 户 不 被 泄露 。 管 理 员 
用 户 名 是 防御 入 侵 的 另 一 个 前 沿 阵地 ， 也 应 该 得 到 保护 。 绝 大 多 数 计 
算 机 系统 都 带 有 一 个 默认 管理 员 账 户 。 对 于 熟悉 相应 操作 系统 的 入 侵 
者 来 说 ， 因 为 他 知道 管理 员 账 户 的 用 户 名 ， 因 此 在 取得 管理 员 权限 方 
面 就 有 了 一 个 可 趁 之 机 。 所 以 ， 专 家 们 建议 更 改 管理 员 账 户 的 用 户 
名 。 

2. 特洛伊 木马 

计算 机 入 侵 者 常用 的 一 个 工具 ， 就 是 所 谓 的 特洛伊 木马 。 特 洛 伊 
木马 一 般 是 指 一 种 计算 机 程序 ， 它 号 称 做 某 一 件 事 ， 但 实际 上 在 后 台 
进行 其 他 看 不 见 的 恶意 活动 。 特 洛 伊 木 马 的 一 种 早期 形式 是 伪造 的 登 
录 屏 幕 。 该 屏幕 看 上 去 就 像 是 系统 使 用 的 登录 屏幕 ， 但 是 当 用 户 试图 
登录 时 ， 用 户 名 和 密码 就 会 被 捕获 ， 并 被 存储 到 入 侵 者 可 以 访问 的 某 
个 秘密 位 置 ( 见 图 11.7) o 

你 可 能 也 猜 到 了 ， 这 种 偷 取 密 码 的 技术 针对 公共 设置 而 设计 ， 例 
如 在 一 间 计 算 机 实验 室 里 ， 可 能 有 多 名 用 户 使 用 一 组 公用 的 终端 或 工 
作 站 。 最 近 几 年 ， 操 作 系 统 已 经 更 加 精通 于 阻止 或 探测 这 种 形式 的 密 
码 捕获 。 

注意 : 大 量 的 特洛伊 木马 


并 不 是 所 有 特洛伊 木马 都 捕捉 密码 ， 而 且 并 不 是 所 有 密码 特洛伊 
都 像 本 万 所 摘 述 的 那个 示例 那样 明目张胆 。 在 Internet 上 ， 可 以 找到 许 
多 其 他 种 类 的 特洛伊 木马 程序 。 有 些 表 现 为 游戏 或 者 是 假 的 系统 工 
具 ， 许 多 这 样 的 特洛伊 木马 程序 ， 都 以 免费 软件 或 共享 软件 的 形式 在 
Internet 上 分 发 。 防 御 此 类 攻击 的 最 佳 方式 ， 是 小 心 所 下 载 的 东西 。 在 
下 载 和 安装 某 个 免费 的 工具 之 前 ， 请 阅 该 工具 的 文档 ， 并 在 Intermmet 上 
搜索 各 种 安全 警告 。 


图 11.7 使 用 特洛伊 木马 程序 偷 取 密码 


3. 猜测 

有 些 密码 特别 简单 ， 或 者 是 构成 比较 拙劣 ， 很 容易 被 入 侵 者 猿 
到 。 您 会 很 惊讶 ， 竟 然 有 这 么 多 用 户 使 用 与 其 用 户 名 完全 相同 的 密 
码 。 有 些 用 户 使 用 街道 名 、 (妇女 ) 结婚 前 的 娘家 姓 ， 或 者 是 某 个 孩 
子 的 名 字 作为 密码 ， 而 有 些 则 使 用 很 容易 猜 到 的 字符 组 合 ， 例 如 
123456、abcde 或 者 是 。 

对 某 个 用 户 有 所 了 解 的 入 侵 者 ， 通 常 可 以 猜 出 该 用 户 可 能 选择 的 
糟糕 密码 。 事 实 上 ， 入 侵 者 甚至 再 也 不 必 猜 测 ， 因 为 现在 有 工具 可 以 
自动 完成 推测 密码 的 过 程 。 这 种 攻击 工具 通过 一 列 易 被 识破 的 字符 组 
合 进行 推测 。 有 些 工具 甚至 使 用 词典 ， 来 推测 相应 语言 中 每 一 个 可 能 
的 词 或 名 称 。 这 可 能 需要 成 上 千 次 尝试 ， 但 是 计算 机 可 以 推测 得 很 
快 。 


4. 窃听 

包 嗅 探 器 (Packet Sniffer) 和 其 他 监视 网 络 流量 的 工具 ， 可 以 轻 
松 地 捕获 以 明文 (未 加 密 ) 形式 在 网 络 上 传输 的 密码 。 许 多 经 典 的 
TCP/IP 实 用 程序 ， 例 如 Telnet 和 r* 工 具 ， 或 者 是 SNMP (将 在 第 15 章 介 
绍 ) ， 都 被 设计 为 以 明文 形式 传输 密码 。 这 些 实用 程序 的 一 些 较 新 版 
本 ， 提 供 密 码 加 密 或 通过 安全 通道 来 传输 密码 。 不 过 ， 在 他 们 的 基本 
形式 中 ， 这 些 应 用 程序 的 明文 密码 安全 措施 ， 使 得 它们 根本 不 适合 充 
满 敌 意 的 开放 式 环境 ， 例 如 Internet。 

注意 : 不 安全 的 网 络 

即使 是 在 封闭 的 环境 里 (例如 某 个 公司 网 络 ) ， 明 文 密码 也 并 不 
真正 安全 。 一 些 专家 推测 ， 每 100 名 公司 员工 中 ， 会 有 一 人 积极 投身 于 
设法 阻挠 网 络 安全 。 尽 管 1% 是 一 个 很 小 的 分 数 ， 但 是 如 果 考 虑 某 个 网 
络 有 1000 名 用 户 ， 那 么 19% 就 是 总 共 会 有 10 名 用 户 热 衷 于 获得 其 他 人 的 
明文 密码 。 

有 几 种 方法 可 以 加 密 密 码 。 使 用 这 些 密码 加 密 方法 要 比 使 用 明文 
密码 好 得 多 ， 但 是 密码 加 密 仍然 有 一 些 局 限 性 。 像 LC5 和 John the 
Ripper 这 样 的 工具 ， 就 能 够 利用 词典 和 暴力 破解 技术 解 开 加 密 了 的 密 
ho 

Internet 上 的 攻击 者 可 以 截取 包含 加 密 后 密码 的 数据 包 ， 然 后 利用 
这 些 密 码 恢复 工具 ， 解 开 密码 。 加 密 通 道 技术 的 近期 发 展 ， 例 如 SSL 
和 IPSec， 显 著 提 升 了 入 侵 者 希望 通过 窃听 TCP/IP 而 获得 像 密码 这 样 
的 敏感 信息 的 难度 。 

已 经 取得 系统 初始 访问 权 的 攻击 者 ， 有 多 种 方式 可 以 截取 或 发 现 
其 他 系统 密码 (包括 管理 员 密 码 ) 。 有 些 工 具 允 许 入 侵 者 捕获 并 记录 
正在 通过 键盘 输入 密码 的 用 户 击 键 情况 。 攻 击 者 还 可 能 获得 对 某 个 带 
有 密码 信息 的 加 密 系统 文件 的 访问 权 ， 然 后 利用 标准 的 密码 攻击 技术 
离线 分 析 该 文件 ， 以 解 开 密 码 。 


5. 如何 防 范 证 书 攻击 

对 于 证 书 攻 击 的 最 佳 防 范 措施 就 是 永 不 松懈 。 各 种 网 络 已 经 采用 
了 大 量 的 策略 来 减少 密码 泄露 的 发 生 。 下 面 提 供 几 个 比较 容易 理解 的 
准则 。 

> 为 公司 中 的 用 户 提供 一 个 优秀 且 清 晰 的 密码 策略 。 和 警告 他 们 将 
其 密码 告诉 其 他 用 户 、 写 在 办 公 桌 旁 的 记事 贴 上 ， 乃 至 存储 在 某 个 文 
件 中 的 危险 性 。 

> 将 所 有 计算 机 系统 配置 为 支持 强制 性 密码 策略 。 为 密码 设置 最 
短 长 度 (通常 是 6~8 个 字符 ) 。 不 允许 用 户 使 用 某 条 狗 的 名 字 或 某 个 
孩子 的 姓名 作为 密码 。 事 实 上 ， 密 码 不 应 该 包括 任何 标准 的 字 词 、 短 
语 或 名 称 。 所 有 密码 都 应 该 包含 字母 和 数字 的 组 合 ， 以 及 至 少 一 个 非 
字母 数字 字符 (不 作为 第 一 个 或 最 后 一 个 字符 ) 。 为 了 防止 密码 猜测 
攻击 ， 请 确保 计算 机 被 配置 为 在 登录 尝试 失败 预先 规定 的 次 数 后 ， 禁 
用 相应 的 账户 。 

> 人 确保 密码 不 以 明文 形式 在 公用 线路 上 传输 。 如 果 可 能 的 话 ， 最 
好 也 不 要 在 您 的 内 部 网 络 上 传输 明文 密码 ， 尤 其 是 在 大 型 网 络 上 。 

有 些 系统 有 办 法 控制 每 一 个 用 户 必须 记 住 的 密码 数 。Microsotft 的 
网 络 提 供 密 码 缓冲 存储 器 ， 还 有 通过 域 安全 系统 的 统一 标准 网 络 登 
录 。UNIX 系 统 提供 像 Kerberos 认 证 这 样 的 系统 。 对 于 在 某 些 环境 中 控 
制 密码 扩散 来 说 ， 这 些 方 法 很 有 有 用。 这些 统 一 标准 的 登录 方法 的 不 利 
方面 是 ， 得 到 一 个 密码 的 入 侵 者 ， 就 可 以 洛 开 访问 相应 用 户 的 所 有 资 
Jo 


11.3.2 网 络 层 攻击 


在 第 6 章 讲 到 ， 对 于 网 络 应 用 程序 的 访问 ， 是 通过 在 TCP/IP 栈 传 
输 层 工作 的 被 称 为 端口 的 逻辑 信道 进行 管理 的 。 攻 击 者 经 单 通过 找到 
某 个 开放 的 端口 ， 致 使 某 一 网 络 服务 监听 网 络 连 接 ， 从 而 取得 对 系统 
的 访问 。 有 了 时候， 该 服务 可 能 就 是 默认 运行 的 ， 连 系统 的 所 有 者 都 不 
知道 它 。 有 时 ， 该 服务 可 能 被 误 配 置 了 ， 或 者 是 它 可 能 允许 通过 某 个 
默认 或 匿名 的 用 户 账 户 进 行 访问 。 

诸如 Nmap 和 Nessus 之 类 的 扫描 工具 ， 可 以 自动 完成 查找 开放 端 
口 的 过 程 。 入 侵 者 (查找 缺口 ， 从 而 可 以 获得 访问 权 ) 和 IT 专业 人 员 

(查找 缺口 ， 从 而 可 以 堵 住 它们 ， 防 止 访问 ) 均 使 用 这 些 扫描 程序 。 
其 他 更 加 专门 的 工具 ， 可 以 搜索 出 特定 网 络 协议 和 服务 中 的 缺口 。 在 
很 多 情况 下 ， 只 是 存在 某 个 开放 的 端口 ， 并 不 足以 使 入 侵 者 进入 ， 但 
是 它 为 攻击 者 提供 了 发 起 一 次 应 用 层 攻 击 的 机 会 ， 从 而 利用 监听 该 端 
口 的 服务 的 某 个 已 知 漏洞 。 

扫描 程序 不 断 在 Internet 上 运行 ， 连 续 地 在 整个 IP 地 址 范围 内 来 回 
移动 ， 以 搜索 开放 的 端口 以 及 未 保护 的 服务 。 本 章 前 面 讲 到 ， 防 火 墙 
的 一 项 重要 功能 就 是 控制 访问 ， 以 防止 网 络 扫描 程序 监听 有 关 网 络 上 
所 运行 服务 的 信息 。 

在 开放 的 Internet 上 实施 的 其 他 网 络 层 攻击 策略 ， 会 截取 和 破坏 
TCP/IP 流 量 。 例 如 ， 会 话 支持 就 是 一 种 利用 TCP 协 议 中 某 个 漏洞 的 高 
级 技术 。 在 第 6 章 讲 到 ，TCP 协 议 在 网 络 主 机 之 间 建 立会 话 。 会 话 支持 
要 求 入 侵 者 窃听 某 个 TCP 会 话 ， 然 后 在 数据 流 中 插入 数据 包 ， 使 它 看 
上 去 像 是 该 TCP 会 话 的 一 部 分 。 入 侵 者 可 以 利用 这 一 技术 ， 在 原始 会 
话 的 安全 上 下 文中 塞 入 命令 。 会 话 劫持 的 一 种 常见 用 法 就 是 使 系统 暴 
露 或 更 改 密码 。 


当然 ， 攻 击 者 并 不 是 在 传输 过 程 中 人 工 编发 欺骗 的 TCP 信息 段 。 
会 话 支持 需要 专门 的 工具 。 一 种 用 于 会 话 支持 的 著名 工具 称 为 
Juggernaut， 它 是 一 款 免 费 程 序 。Juggernaut 监 听 某 个 局 部 网 络 ， 维 持 
一 个 TCP 连 接 的 数据 库 。 入 侵 者 可 以 监视 TCP 流 量 ， 从 而 重 放 连接 历 
E, 或 者 是 通过 插入 任意 命令 来 动 持 某 个 活动 会 话 。 针 对 会 话 支持 和 
其 他 基于 协议 的 技术 的 最 佳 防范 ， 是 利用 VPN 或 者 是 某 一 其 他 形式 的 
加 密 通 信和 来 保护 会 话 。 


11.3.3 以 用 后 


你 可 能 会 想 ， 如 果 软 件 配 置 正 确 ， 并 且 可 以 使 密码 不 被 敌人 之 手 
触及 ， 那 么 就 不 会 有 任何 Intemet 入 侵 者 的 问题 了 。 不 立 的 是 ， 实 际 情 
况 要 更 加 复杂 。 当 前 在 Internet 上 运行 的 许多 程序 都 是 数 年 前 编写 的 ， 
当时 入 侵 艺 术 尚 未 逐渐 形成 ， 它 们 包含 着 一 些 本 质 上 不 安全 的 程序 代 
码 。 即 使 是 现在 编写 的 程序 ， 也 经 常 编写 的 特别 匆忙 ， 另 外 ， 程 序 设 
计 人 员 的 训练 和 专业 知识 储备 也 干 差 万 别 。 入 侵 者 开发 了 许多 技术 ， 
用 于 利用 不 安全 的 程序 代码 ， 破 坏 系统 安全 。 

应 用 层 攻 击 技术 的 一 个 常见 示例 就 是 缓冲 区 溢出 。 当 一 台 计 算 机 
通过 网 络 连 接 接收 数据 时 (或 者 就 此 而 言 ， 即 使 是 在 它 从 键盘 接收 数 
据 时 ) ， 该 计算 机 必须 保留 足够 的 内 存 空 间 来 接收 完整 的 数据 集 。 这 
个 接收 空间 匀称 为 缓冲 区 。 如 果 用 尸 的 输入 溢出 该 缓冲 区 ， 和 否 怪 的 事 
就 会 发 生 。 如 果 输 入 没有 被 适当 管理 ， 那 么 溢出 缓冲 区 的 数据 就 可 能 
变 为 驻 留 在 CPU 的 执行 区 域 中 ， 那 意味 着 经 由 缓冲 区 溢出 发 送 给 计算 
机 的 命令 ， 可 能 会 被 实际 执行 ( 见 图 11.8) 。 这 些 命令 以 接收 数据 的 
应 用 程序 的 权限 执行 。 其 他 缓冲 区 溢出 攻击 利用 这 样 的 一 个 事实 : 一 
些 应 用 程序 在 安全 性 已 经 提高 的 环境 中 运行 ， 该 上 下 文 在 应 用 程序 意 
外 终止 时 仍 可 能 是 活动 的 。 
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图 11.8 缓冲 区 溢出 攻击 使 为 程序 输入 保留 的 内 存 空间 不 足 ， 致 使 相应 
的 程序 骨 溃 、 运 行 异 单 或 执行 任意 代码 


要 想 避 免 缓冲 区 溢出 问题 ， 应 用 程序 必须 提供 一 种 方法 ， 在 将 数 
据 写 入 应 用 程序 缓冲 区 之 前 ， 接 收 并 检查 数据 的 大 小 。 较 好 的 解决 办 
法 是 在 养 成 民 好 的 程序 设计 习惯 。 设 计 糟 糕 的 应 用 程序 ， 尤 其 容易 受 
到 缓冲 区 溢出 攻击 。 

一 些 流行 的 著名 网 络 应 用 程序 ， 都 有 缓冲 区 溢出 漏洞 。 有 关 这 些 
漏洞 的 许多 利用 ， 在 Internet 上 众所周知 ， 因 此 入 侵 者 完全 知道 如 何以 
及 从 哪里 发 起 攻击 。 基 于 UNIX 的 E-mail 服 务 器 Sendmail， 就 是 一 个 
缓冲 区 溢出 攻击 的 常见 目标 。 近 年 来 ，Microsoft 的 Internet 信 息 服 务 器 
(IIS) 和 Microsoft 的 其 他 产品 ， 也 都 已 成 为 缓冲 区 溢出 攻击 的 牺牲 
品 。 软 件 厂商 发 现 某 个 可 能 的 缓冲 区 洲 出 漏洞 时 ， 通 常会 发 布 一 个 补 
丁 来 修复 该 问题 。 由 于 公众 对 缓冲 区 溢出 漏洞 的 注意 ， 会 引起 巨大 的 
公众 关系 问题 ， 软 件 厂 商 们 已 经 变 得 非常 警惕， 一 发 现 漏洞 ， 就 快速 
修补 其 软件 。 因 此 ， 当 有 安全 问题 被 发 现时 ， 某 家 厂商 在 数 日 内 或 者 
甚至 是 在 数 小 时 内 发 布 补 丁 ， 一 操 也 不 足 为 怪 。 同 时 ， 优 秀 的 系统 管 


理 员 会 密切 关注 像 Common Vulnerabilities and Exposures project 


(http://cve.mitre.org) 这 样 的 组 织 发 出 的 安全 警告 ， 从 而 可 以 知道 何 
时 何 地 能 获得 其 系统 的 最 新 补丁 。 像 SANS (http://www.sans.org) 这 
样 的 组 织 ， 还 提供 包含 近期 安全 威胁 信息 的 E-mail 简讯 。 

对 于 解决 类 似 缓冲 区 溢出 这 样 的 问题 的 办 法 ， 一 方面 是 编写 民 好 
的 程序 ， 并 不 只 是 在 软件 厂商 提供 的 软件 中 要 这 样 ，Web 开 发 人 员 和 
IT 人 员 自 己 在 编写 脚本 时 也 应 如 此 。 另 一 方面 ， 通 过 安装 所 有 的 补丁 
和 更 新 ， 保 持 系统 的 更 新 。 对 于 试图 利用 缓冲 区 溢出 的 远程 用 户 ， 一 
些 操作 系统 允许 你 限制 其 可 以 使 用 的 权限 学 围 。 如 果 可 能 的 话 ， 请 不 
要 让 网 络 应 用 程序 以 root 或 管理 员 权限 运行 〈 在 某 些 情况 下 ， 可 能 无 
法 选择 ) 。 对 于 要 求 较 高 权限 来 运行 的 应 用 程序 ， 像 UNIX/Linux 工 具 
chroot 这 样 的 应 用 程序 ， 可 以 创建 有 限制 的 安全 环境 ， 以 防止 入 侵 者 
获得 对 系统 其 余部 分 的 访问 权 。 


11.3.4 root 访 问 


网 络 入 侵 者 的 “圣杯 ”， 永 远 是 系统 的 管理 员 或 root 访 问 权 限 。 拥 有 
root 访 问 权 的 用 户 ， 可 以 执行 任何 命令 或 查看 任何 文件 。 从 本 质 上 
讲 ， 当 你 拥有 root 访 问 权 时 ， 就 可 以 随心 所 欲 地 对 待 相应 的 系统 了 。 
root 这 个 术语 产 目 UNIX 领 域 ， 但 是 ， 有 一 个 强大 的 账户 拥有 可 以 控制 
系统 的 权限 ， 这 样 的 概念 适用 于 所 有 软件 厂商 和 平台 。 在 Windows 网 
络 上 ， 这 种 账户 被 称 为 “管理 员 * 账 户 。 

通常 ， 在 入 侵 者 进入 系统 之 后 ， 首 要 的 任务 就 是 上 传 一 个 
rootkit。rootkit 是 一 组 工具 ， 用 于 在 系统 上 建立 一 个 更 加 稳固 的 立足 
点 。 一 些 这 样 的 工具 被 用 来 危害 新 的 系统 和 新 的 账户 。 其 他 工具 则 用 
来 隐藏 攻击 者 在 系统 上 的 行踪 。 这 些 困 惑 工 具 可 能 包括 标准 网 络 工具 

(例如 netstat) 的 纂 改版 本 ， 或 者 是 从 系统 日 志文 件 消除 入 侵 者 行踪 
的 应 用 程序 。rootkit 中 的 其 他 工具 ， 可 能 会 帮助 入 侵 者 探测 相应 的 网 
络 或 截取 更 多 密码 。 有 些 rootkit 甚 至 能 允许 入 侵 者 修改 操作 系统 本 
身 。 

现代 的 rootkit 工 具 提供 了 额外 的 特性 。Key loggers 能 够 捕获 和 记 
录 键 盘 输入 ， 从 而 等 待 用 户 输入 密码 。 所 谓 的 内 核 rootkit 在 操作 系统 
的 最 高 安全 级 别 运 行 ， 因 此 使 用 传统 的 检测 技术 很 难 将 其 检测 出 来 。 

入 侵 者 接 下 来 会 着 手 建 立 一 个 或 多 个 系统 后 门 ， 也 就 是 进入 系统 
的 密码 通道 ， 这 些 通道 很 难 背 网 络 管理 员 检 测 到 。 后 门 的 关键 是 是 使 
入 侵 者 能 够 避 开 围绕 日 常 交 互 式 访问 的 日 志 记 录 和 监控 进程 。 一 个 后 
门 可 能 包括 一 个 隐藏 的 账户 ， 或 者 是 与 某 个 应 该 只 有 受 限 访问 权 的 账 
户 相 关联 的 隐藏 权限 。 在 某 些 情况 下 ， 后 门路 径 可 能 包括 映射 至 不 常 
见 端口 号 的 服务 (例如 Telnet) ， 本 地 管理 员 一 般 不 会 找到 和 发 现 它 
们 ]。 


在 入 侵 者 上 传 完 必 要 的 工具 ， 并 且 已 经 为 掩盖 行踪 和 稍 后 再 次 回 
来 做 好 安排 之 后 ， 下 一 步 就 是 着 手 对 网 络 进行 破坏 ， 例 如 盗 取 文件 和 
信用 资料 ， 或 者 是 将 系统 配置 为 spambot (利用 被 感染 计算 机 发 送 垃 
圾 邮件 ) 。 另 一 个 目标 是 ， 开 始 为 下 一 次 攻击 做 好 准备 。 小 心 谨慎 的 
入 侵 者 ， 永 远 不 会 愿意 在 系统 上 留 下 蛛丝马迹 。 优 先 选 用 的 方法 是 ， 
从 某 个 已 经 被 控制 的 系统 发 起 攻击 。 有 些 攻击 者 通过 一 连 串 的 多 个 远 
程 系 统 进行 操作 ， 这 一 策略 使 得 几乎 不 可 能 确定 入 侵 者 的 真实 位 置 。 


11.3.5 网 络 钓鱼 


防火 墙 、 加 密 技术 和 其 他 安全 措施 的 普遍 使 用 ， 已 经 使 得 入 侵 者 
更 加 难以 在 未 经 邀请 的 网 络 上 胡作非为 。 攻 击 者 已 经 对 此 做 出 反应 ， 
用 他 们 自己 的 新 一 代 技 术 来 挫败 这 些 安全 措施 。 一 种 新 的 重要 策略 
是 ， 通 过 提供 一 个 欺骗 性 的 链接 、E-mail 信 息 或 网 页 作为 诱饵 ， 诱 使 
没有 疑心 的 用 户 发 起 攻击 。 这 类 攻击 属于 “网 络 钓 鱼 ” 攻 击 。 网 络 钓鱼 
攻击 可 能 包括 一 则 E-mail 消息 ， 要 求 用 户 登 录 到 某 个 网 上 银行 站 点 并 
更 新 账户 信息 ， 但 是 实际 上 将 其 引 向 由 攻击 者 控制 的 某 个 伪造 的 网 
页 。 

网 络 钓鱼 攻击 经 常 利 用 这 样 的 一 个 事实 : 和 链接 一 同 显示 的 文本 
独立 于 实际 的 URL。 第 18 章 将 讲 到 ，Web 开 发 人 员 可 以 利用 如 下 所 示 
的 语法 ， 指 定 某 个 超 文 本 和 链接: 

<a href="http://www.MyBank.com/">MyBank</a> 

在 这 种 情况 下 ,， “MyBank” 将 和 指向 http:/www.MyBank.com/ 上 主 
页 的 链接 一 同 显示 。 不 过 ， 如 果 某 个 道德 有 问题 的 Web 开发 人 员 ， 
像 下 面 那样 编码 一 个 链接 会 怎么 样 呢 : 

<a 
href="http://www.NOT_MyBank_$$8:%%0%??!!!.biz/">MyBank</a> 

在 那 种 情况 下 ， 该 链接 仍然 会 和 标签 MyBank 一 同 显 示 ， 但 是 它 指 
同一 个 不 同 的 网 站 。 如 果 仔 细 碍 看 ， 您 有 时 会 在 web 浏览 器 的 地 址 栏 
中 ， 或 者 是 当 您 将 鼠标 悬浮 在 相应 的 链接 上 时 ， 在 弹出 的 小 窗口 文本 
中 ， 看 到 这 些 网 络 钓鱼 URL 的 某 一 个 。 

最 好 的 策略 是 ， 不 要 点 击 不 明 E-mail 信 息 中 的 链接 ， 以 及 从 不 在 
线 递 交 任 何 财务 信息 ， 除 非 您 自己 发 起 该 活动 ， 并 且 相 当 有 把 握 地 知 
道 自己 正在 去 哪里 。 


其 他 更 加 高 级 的 钓鱼 技术 更 难 跟 踪 和 探测 。 有 一 种 被 称 为 跨 站 脚 
本 的 策略 ， 利 用 代码 注入 ， 绕 过 浏览 器 安全 措施 ， 以 发 起 用 户 正 在 查 
看 的 页 面 不 易 追 踪 的 某 个 恶意 脚本 。 

诱 使 用 户 发 起 攻击 的 技术 ， 要 比 简单 地 链接 到 伪造 网 站 的 诡计 含 
蕾 得 多 。 像 防火 墙 这 样 的 设备 ， 其 主要 目的 就 是 要 阻止 从 外 部 发 起 的 
攻击 。 通 过 让 用 户 发 起 相应 的 连接 ， 攻 击 者 可 以 绕 过 网 络 安全 基础 设 
施 中 构建 的 许多 保护 ( 见 图 11.9) 。 浏 览 器 和 防火 墙 均 不 易 察觉 这 个 
连接 不 同 于 其 他 任何 指向 某 个 外 部 网 站 的 连接 。 在 该 连接 被 建立 之 
后 ， 攻 击 者 就 可 以 采用 大 量 策 略 来 损害 安全 措施 (如 果 相应 的 攻击 是 
从 防火 墙 之 外 发 起 的 ， 那 就 不 可 能 发 生 这 样 的 情况 ) 。 这 种 攻击 甚至 
不 受 网 络 地 址 转换 (NAT) 的 影响 ， 后 者 为 用 户 的 系统 分 配 一 个 应 当 
不 可 路 由 的 IP 地 址 。 这 里 的 防火 墙 设备 只 会 像 它 对 待 其 他 任何 的 HITP 
连接 一 样 ， 转 换 此 会 话 流量 。 


图 11.9 如 果 用 户 发 起 到 某 个 欺骗 性 web 服务 器 的 连接 ， 那 么 阻止 外 部 
连接 企图 的 本 地 防火 墙 通常 是 无 效 的 


注意 : 更 好 的 防火 墙 由 于 可 能 发 生 这 种 用 户 发 起 的 攻击 ， 因 此 安 
全 专家 并 不 十 分 信任 家 用 式 的 现成 防火 墙 设备 。 专 家 更 喜欢 提供 具有 
更 多 种 语法 规则 和 过 滤 机 制 的、 更 加 复杂 的 防火 墙 工具 。 


11.3.6 


近来 ， 一 种 狂热 的 Internet 入 侵 是 拒绝 服务 (Denial of Service, 
DoS) 攻击 。DoS 攻 击 一 旦 发 动 ， 几 乎 不 可 能 停止 ， 因 为 它 并 不 要 求 
攻击 者 在 系统 上 拥有 特定 的 权限 。DoSs 攻 击 的 关键 是 用 大 量 请 求 阻塞 
系统 ， 使 系统 资源 全 部 耗 尺 ， 性 能 降低 。 美 国政 府 的 网 站 以 及 与 
Internet 主 要 搜索 引擎 相关 的 那些 网 站 ， 均 已 齐 到 过 DoS 攻 击 。 

最 危险 的 DoS 攻 击 是 分 布 式 DoS 攻 击 。 在 分 布 式 DoS 攻 击 中 ， 攻 击 
者 利用 若干 台 远 程 计算 机 ， 指 挥 其 他 远程 计算 机 发 起 一 场 协 同 攻击 。 
有 时 ， 几 百 台 甚至 几 千 台 计 算 机 ， 可 以 参与 到 针对 某 个 IP 地 址 的 攻 
击 。 

DoS 攻 击 通 常 使 用 标准 的 TCP/IP 连 接 程 序 。 例 如 ， 著 名 的 Smurf 攻 
击 ， 它 利用 ping 工 具 ， 在 受害 者 机 器 上 释放 大 量 ping 响 应 (ME 
11.10) 。 攻 击 者 通过 定向 广播 ， 向 整个 网 络 发 送 一 个 ping 请 求 。 这 个 
ping 的 源 地 址 ， 被 修改 为 看 上 去 该 请 求 来 自 受 害 者 的 IP 地 址 。 接 下 
来 ， 网 络 上 的 所 有 计算 机 同时 响应 那个 ping。Smurf 攻 击 的 结果 是 ， 攻 
击 者 最 初 发 出 的 ping， 在 放大 网 络 上 ， 被 增加 成 许多 ping。 如 果 攻 击 
者 同时 在 几 个 网 络 上 发 起 这 一 过 程 ， 结 果 将 是 大 量 ping 响 应 阻塞 受害 
者 的 系统 。 
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图 11.10 DoS 攻 击 


目标 计算 机 
突然 由 于 来 
自 多 个 网 络 
的 请 求 或 相 
应 而 过 载 


11.3.7 的 ;> 


网 络 安全 专家 投入 了 毕生 的 精力 来 研究 防范 网 络 攻 击 的 措施 。 当 
然 ， 他 们 所 针对 的 都 是 具有 几 百 个 节点 而 且 大 多 数 都 直接 暴露 在 
Internet 下 的 复杂 网 络 。 在 小 型 的 网 络 中 ， 下 面 一 些 最 佳 做 法 可 以 用 来 
防范 本 章 讨论 的 这 些 攻击 技术 。 

> 使 用 正确 配置 的 防火 墙 。 

> 使 用 安全 的 密码 。 尽 管 具体 策略 不 同 ， 但 是 大 多 数 专家 都 建议 
密码 的 最 短 长 度 为 6~8 个 字符 ， 而 且 密 码 中 要 包含 字符 、 数 字 和 标点 
符号 。 

> 不 要 将 密码 透露 给 别人 。 不 要 将 密码 写 在 纸 上 并 放 在 很 显眼 的 
地 方 。 

> 不 要 单 击 可 疑 的 链接 。 

> 使 用 最 低 的 权限 来 操作 。 

> 如 果 运 行 的 是 Windows， 要 安装 病毒 防护 软件 。 

> 关闭 不 需要 的 所 有 服务 。 

> 如 果 必 须要 访问 内 部 网 络 ， 请 使 用 VPN 来 进行 加 密 通 信 。 

> 使 用 防火 墙 。 关 闭 所 有 的 端口 ， 关 闭 所 有 的 网 络 服 务 ， 除 非 你 
是 真 的 需要 这 些 服务 。 

> 在 阔 箱 环境 中 运行 网 络 服务 ， 这 样 即 使 有 入 侵 发 生 ， 也 不 会 提 
升 其 操作 权限 。 

> 在 无 线 网 络 中 使 用 加 密 。 

> 经 常安 装 安 全 更 新 。 

你 仍然 需要 保持 警惕 ， 因 为 这 些 老 字号 的 技术 对 谨慎 的 Internet 
用 户 来 讲 ， 仅 仅 是 最 低 要 求 。 


11.4 加 密 和 保密 


截获 和 读 取 通 过 某 一 公用 网 络 传输 的 无 保护 的 数据 包 ， 是 一 件 很 
容易 的 事 。 在 某 些 情况 下 ， 这 些 数据 可 能 包含 用 户 信息 或 密码 信息 。 
在 其 他 情况 下 ， 该 数据 可 能 包含 您 不 希望 其 他 人 看 到 的 其 他 敏感 信 
息 ， 例 如 信用 卡号 码 或 者 是 公司 机 密 。 事 实 是 ， 即 使 那些 数据 并 不 特 
别 涉 密 ， 但 是 许多 用 户 仍 无 可 非议 地 对 窃听 者 可 能 会 偷 听 到 他 们 的 电 
子 通信 而 感到 不 舒服 。 

下 面 将 讨论 的 安全 方法 会 让 网 络 更 加 隐秘 。 这 其 中 的 许多 方法 ， 
都 运用 一 种 被 称 为 加 密 的 概念 。 加 密 是 指 系统 地 改变 数据 ， 使 得 未 授 
权 用 户 无 法 读 取 它 的 过 程 。 数 据 由 发 送 方 加 密 。 然 后 ， 该 数据 以 不 可 
读 的 编码 形式 在 网 络 上 传输 。 接 收 方 计算 机 接着 解密 和 读 取 该 数据 。 

实际 上 ， 加 密 根本 不 需要 计算 机 。 加 密 方法 已 经 有 几 个 世纪 的 历 
史 了 。 在 人 们 编写 密 信 的 时 候 ， 他 们 就 已 开始 寻找 代码 或 诀窍 来 保护 
那些 消息 的 秘密 。 不 过 ， 在 计算 机 时 代 ， 加 密 已 变 得 更 加 复杂 ， 因 为 
有 计算 机 可 以 轻松 地 人 处理 数量 惊人 的 杂乱 数字 。 绝 大 多 数 计算 机 加 密 
算法 ， 都 产生 自 对 大 量 质数 的 处 理 。 由 于 这 些 算法 本 身 完 全 属于 数学 
领域 ， 因 此 之 不 夺 张 地 说 ， 绝 大 多 数 创 建 和 部 署 加 密 算法 的 专家 ， 都 
有 计算 机 科学 或 数学 专业 的 研究 生 学 位 。 

加 密 几乎 是 所 有 TCP/IP 安全 措施 的 重要 基础 。 下 面 几 个 小 节 将 讨 
论 一 些 重 要 的 加 密 概念 。 在 您 阅读 本 章 其 余部 分 时 ， 一 定 要 记 住 安全 
基础 设施 实际 上 有 多 个 目的 ， 而 且 安 全 方法 必须 满足 多 种 需求 。 本 节 
先 讨 论 了 机 密 性 的 目的 保守 数据 的 秘密 ) 。 安 全 系统 还 必须 满足 如 
下 需求 。 

> 身份 验证 : 确保 数据 来 自 产生 它 的 源头 。 

> 完整 性 : 确保 数据 在 传输 过 程 中 未 被 算 改 。 

加 密 技术 被 用 来 帮助 确保 身份 验证 和 完整 性 ， 以 及 机 密 性 。 


本 章 剩余 内 容重 点 关注 如 何 保护 TCP/IP 免 受 窃听 、 截 获 和 操纵 。 


11.4.1 算法 和 密 钥 

上 一 节 讲 到 ， 加 密 就 是 使 没有 解锁 加 密 代码 秘诀 的 任何 物体 和 任 
何人 ， 均 无 法 读 取 数 据 的 过 程 。 要 使 加 密 起 作用 ， 通 信 实 体 双 方 都 必 
MR: 

> 使 数据 无 法 读 取 的 过 程 (ME) ; 

> 将 无 法 读 取 的 数据 恢复 至 其 可 读 取 的 原始 格式 的 过 程 (MR 


密 ) 。 
在 程序 员 刚 开始 编写 加 密 软 件 时 ， 他 们 就 认识 到 自己 必须 对 付 下 
列 问题 。 


> 如 果 每 一 台 计 算 机 均 使 用 完全 相同 的 过 程 来 加 密 和 人 解密 数据 ， 
那么 该 程序 就 不 够 安全 ， 因 为 任何 窃听 者 都 可 以 只 获得 该 程序 的 一 个 
副本 ， 然 后 就 可 以 开始 解密 信息 。 

> 如 果 每 一 台 计 算 机 均 使 用 完全 不 同 且 不 相干 的 过 程 来 加 密 和 解 
密 数据 ， 那 么 每 一 台 计 算 机 都 将 需要 一 个 完全 不 同 且 不 相干 的 程序 。 
每 一 对 想 要 通信 的 计算 机 ， 都 将 需要 使 用 单独 的 软件 。 这 会 花费 很 
高 ， 而 且 在 不 同 的 大 型 网 络 上 无 法 进行 管理 。 

这 些 问题 可 能 似乎 很 难 对 付 ， 但 是 开发 加 密 技 术 的 那些 大 脑 们 很 
快 就 想到 了 一 种 解决 方案 。 这 种 解决 办 法 是 ， 加 密 或 解密 数据 的 过 
程 ， 必 须 被 分 成 一 个 标准 的 可 重复 、 可 复制 的 部 分 《 它 始终 相同 ) 和 
一 个 独一无二 的 部 分 〈 它 在 通信 双方 之 间 强 加 一 个 秘密 关系 ) o 

加 密 过 程 的 标准 部 分 被 称 为 加 密 算法 。 加 密 算法 实质 上 是 一 组 数 
学 步 又， 用 来 将 数据 转换 为 无 法 读 取 的 格式 。 加 密 过 程 独 一 无 二 的 秘 
密 部 分 ， 被 称 为 加 密 密 钥 。 加 密 学 非常 复杂 ， 但 是 为 了 便于 讨论 ， 可 
以 把 密 钥 看 做 是 一 个 比较 大 的 数字 ， 它 在 加 密 算法 内 当做 一 个 变量 使 
用 。 加 密 过 程 的 结果 ， 取 决 于 密 钥 的 值 。 因 此 ， 只 要 保守 住 密 钥 值 的 


秘密 ， 未 经 授权 的 用 户 便 将 无 法 读 取 被 加 密 的 数据 ， 即 使 他 们 拥有 必 
需 的 解密 软件 。 

优秀 加 密 算法 的 奇妙 与 隆 深 ， 无 论 怎样 强调 都 不 为 过 。 虽 然 如 
此 ， 下 面 这 个 示例 仍然 可 以 阐明 密 钥 和 算法 概念 。 

有 一 个 人 不 希望 他 母亲 知道 他 为 家 具 支 付 了 多 少 钱 。 但 是 ， 他 知 
道 他 母亲 有 数学 爱好 ， 因 此 不 想 冒险 使 用 一 个 简单 的 因 式 或 乘 式 ， 来 
隐藏 真实 的 数值 ， 害 怕 她 会 发 现 秘密 。 他 已 经 与 他 爱人 商定 ， 如 果 他 
母亲 来 访 并 询问 家 具 价格 ， 他 会 用 真实 价格 除 以 一 个 新 的 自然 产生 的 
数字 ， 结 果 乘 以 2， 然 后 再 加 上 10 美元 。 换 名 话说， 那个 人 准备 使 用 
MS: 


la] ni N) x2+$10 = 报告 的 价格 

那个 新 的 自然 产生 的 数字 (n) 就 是 密 钥 。 每 次 他 母亲 来 访 ， 都 可 
以 使 用 这 相同 的 算法 。 只 要 不 知道 计算 中 使 用 的 相应 密 钥 ， 那 位 母亲 
便 将 无 法 确定 隐藏 家 具 真 实 价格 的 模式 。 

如 果 那 个 人 带 了 一 把 椅子 或 一 张 桌子 回 家 ， 并 看 到 他 母亲 在 院子 
里 ， 他 就 会 悄悄 地 用 动作 示意 其 爱人 一 个 数字 〈 见 图 11.11) 。 当 他 母 
亲 询 问 该 家 具 的 价格 时 ， 他 便 执 行 上 述 算法 ， 并 使 用 他 示意 其 爱人 的 
数字 作为 密 钥 。 例 如 ， 如 果 这 里 的 密 钥 为 3， 而 那 把 椅子 花 了 600 美 
元 ， 那 么 他 就 会 说 : 
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这 个 简单 的 示例 ， 只 是 为 了 说 明 算 法 与 密 钥 之 间 的 差别 ， 它 并 未 
显示 出 计算 机 加 密 方法 真正 的 复杂 性 。 还 要 记 住 ， 更 改 数值 的 目的 与 
使 得 数据 无 法 读 取 的 目的 并 不 完全 相同 。 不 过 ， 在 计算 机 的 二 进 制 世 
界 里 ， 这 个 差别 没有 它 可 能 看 上 去 那么 明显 。 
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图 11.11 一 个 用 于 伪装 通信 的 非 沼 简 单 的 算法 


对 于 计算 机 来 说 ， 所 有 数据 均 采 用 使 用 1 和 0 表示 的 二 进 制 数据 位 
格式 ， 因 此 可 以 进行 数学 运算 。 任 何 把 数据 位 串 转换 为 另 一 个 数据 位 
串 的 过 程 ， 均 隐藏 信息 的 原始 状态 。 重 要 的 是 ， 接 收 方 必 须 有 有 某 种 方 
法 对 加 密 数据 进行 逆向 作业 ， 以 打开 原始 信息 ， 而 且 加 密 过 程 必须 提 
供 某 种 共享 的 秘密 值 (A) ， 没 有 它 ， 解 密 将 变 得 没有 可 能 。 

加 密 是 几乎 所 有 安全 连 网 技术 的 核心 。 安 全 系统 会 加 密 密 码 、 登 
录 程 序 甚至 是 整个 通信 会 话 。 尽 管 开发 人 员 或 网 络 管理 员 会 经 党 有 意 
调用 管理 加 密 的 应 用 程序 和 组 件 ， 但 对 于 用 户 来 说 ， 加 密 过 程 通常 是 
看 不 见 的 。 


11.4.2 常 


对 称 加 密 有 时 被 称 为 常规 加 密 ， 因 为 它 先 于 较 新 的 非 对 称 技 术 而 
开发 。 尽 管 公 开 密 钥 非 对 称 加 密 近 期 已 得 到 相当 多 的 关注 ， 但 对 称 加 
密 仍 是 最 常见 的 加 密 形式 。 

对 称 加 密 之 所 以 称 为 对 称 ， 是 因为 加 密 和 解密 过 程 使 用 的 是 相同 
的 密 钥 (或 者 至 少 是 密 钥 可 以 用 某 些 可 预测 的 方式 来 推出 ) 。 图 11.12 
描述 了 一 个 对 称 加 密 /解密 过 程 。 具 体 步骤 如 下 所 示 。 


双方 都 知 
道 的 密 钥 


图 11.12 对 称 加 密 过 程 


1. 创建 一 个 发 送 方 计 算 机 和 接收 方 计 算 机 都 知道 的 密 钥 。 

2. 发 送 方 计算 机 使 用 一 个 预定 的 加 密 算法 和 上 述 密 钥 ， 加 密 要 发 
送 的 数据 。 

3. 加 密 (不 可 读 的 ) 文本 被 转交 给 目的 计算 机 。 

4. 接收 方 计算 机 使 用 的 相对 应 的 解密 算法 (以 及 密 钥 ) 来 解密 数 
据 。 

对 于 那 件 家 具 ， 男 人 和 他 的 爱人 〈 见 上 一 小 节 中 的 那个 示例 ) 使 
用 一 种 对 称 算 法 ， 隐 藏 了 那 把 椅子 的 真实 价格 。 

如 果 小 心 执 行 ， 对 称 加 密 可 以 非常 安全 。 对 于 任何 加 密 方案 OF 
称 或 非 对 称 ) 的 安全 性 ， 最 重要 的 考虑 因素 如 下 : 

> 加 密 算法 的 强度 ; 

> 密 钥 的 强度 ，; 

> 密 钥 的 保密 能 力 。 

破解 一 种 使 用 128 位 密 钥 的 加 密 算法 ， 可 能 看 来 好 像 完 全 不 可 能 ， 
但 是 确实 会 发 生 。 密 钥 破 解 工具 可 以 在 Internet 上 可 以 随意 获取 ， 而 且 
有 些 曾经 被 认为 牢 不 可 破 的 128 位 加 密 算法 ， 现 在 也 被 认为 是 不 安全 
的 了 。 资 取 加 密 数据 的 另 一 种 方式 是 盗 取 密 钥 。 相 关 的 软件 必须 提供 


某 种 安全 的 手段 ， 来 将 密 钥 转交 给 接收 方 计算 机 。 当 前 有 多 种 密 钥 传 
送 系 统 ， 本 章 稍 后 将 介绍 其 中 的 几 种 。 就 对 称 加 密 来 说 ， 密 钥 就 是 整 
个 秘密 。 如 果 捕 获 了 相应 的 密 钥 ， 您 就 拥有 一 切 了 。 因 此 ， 绝 大 多 数 
系统 要 求 定 期 更 新 密 钥 。 一 对 相互 通信 的 计算 机 所 使 用 的 独一无二 的 
密 钥 ， 可 能 会 重新 创建 每 一 个 会 话 ， 也 可 能 在 指定 时 间 间 隔 之 后 重新 
创建 。 密 钥 更 新 增加 了 网 络 上 的 密 钥 数量 ， 可 以 缓解 对 有 效 保护 密 钥 
的 需求 。 
有 一 些 常见 的 加 密 算法 都 充分 利用 了 对 称 加密 。 数 据 加 密 标准 

(DES) 算法 曾经 很 流行 ， 但 是 其 56 位 的 密 钥 现在 看 来 太 短 了 。 现 代 
加 密 技术 通常 允许 可 变 的 密 钥 长 度 。DES 的 一 种 派生 算法 被 称 为 高 级 
加 密 标准 (AES) ， 它 支持 128、192 或 256 位 密 钥 。Blowfish 对 称 算法 
可 提供 高 达 448 位 的 密 钥 长 度 。 


11.4.3 YN 


最 近 30 年 形成 的 另 一 种 加 密 方法 ， 解 决 了 对 称 加 密 固有 的 一 些 密 
钥 分 发 问题 。 非 对 称 加 密 之 所 以 称 为 非 对 称 ， 是 因为 用 来 加 密 数 据 的 
密 钥 ， 与 用 来 解密 数据 的 密 钥 不 同 。 

非 对称 加 密 通 单 与 一 种 被 称 为 公开 密 钥 加 密 的 加 密 方法 相关 。 在 
公开 密 钥 加 密 中 ， 两 个 密 钥 中 的 一 个 (被 称 为 私有 密 钥 ) 安全 地 保留 
征 一 台 计 算 机 上 。 另 一 个 密 钥 (公开 密 钥 ， 对 于 所 有 想 要 给 私有 密 钥 
持 有 者 发 送 数 据 的 计算 机 均 可 用 。 具 体 步 又 如 下 所 示 。 

1. 计算 机 A 设 法 与 计算 机 B 建 立 一 个 连接 。 

2. 计算 机 B 上 的 加 密 软件 生成 一 个 私有 密 钥 和 一 个 公开 密 钥 。 
私有 密 钥 不 与 任何 人 分 享 。 公 开 密 钥 被 提供 给 计算 机 A 使 用 。 

3. 计算 机 A 使 用 从 计算 机 B 接 收 到 的 公开 密 钥 加 密 数 据 并 传输 数 
据 。 来 自 计 算 机 B 的 公开 密 钥 被 存储 在 计算 机 A 上 ， 以 供 将 来 引用 。 

4. 计算 机 B 接 收 计算 机 A 发 送 来 的 数据 ， 并 使 用 相应 的 私有 密 钥 
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注意 : 保密 性 和 真实 性 

可 能 会 发 生 争论 的 是 ， 尽 管 截获 公开 密 钥 的 窃听 者 无 法 读 取 发 送 
自 计 算 机 A 的 数据 ， 但 是 该 窃听 者 仍然 可 以 通过 加 密 新 的 数据 并 将 其 
发 送 给 计算 机 B 来 伪装 成 计算 机 A。 因 此 ， 虽 然 公 开 密 钥 加 密 提供 机 
密 性 ， 但 是 它 未 必 提 供 真实 性 。 不 过 ， 有 几 种 方法 可 以 在 加 密 数 据 内 
装 入 鉴别 信息 ， 从 而 使 得 数据 被 解密 时 ， 计 算 机 B 将 有 一 定 的 把 握 该 
数据 实际 上 来 自 计算 机 A。 

公开 密 钥 方 法 的 一 个 重要 方面 是 ， 通 过 公开 密 钥 执 行 的 加 密 是 
向 函数 。 公 开 密 钥 可 以 用 来 加 密 数据 ， 但 是 只 有 相应 的 私有 密 钥 才 可 
以 解密 加 密 后 的 数据 。 截 获 公开 密 钥 的 窃听 者 将 仍然 不 能 读 取 使 用 该 
公开 密 钥 加 密 的 信息 。 


公开 密 钥 加 密 方法 通常 用 于 受 保护 的 Internet 交易 。 本 章 稍 后 将 
讨论 有 关公 开 密 钥 证 书 的 内 容 ， 它 们 用 于 TCP/IP 安 全 协议 ， 例 如 安全 
套 接 层 (Secure Sockets Layer) 和 IPSec。 


11.4.4 数字 签名 


有 时 ， 一 定 要 确保 消息 的 真实 性 ， 即 使 您 并 不 关心 该 消息 的 内 容 
是 否 包含 机 密 信息 。 例 如 ， 一 名 证 券 经 纪 人 可 能 接收 到 一 则 电子 邮件 
信息 ， 说 : 

出 售 20 股 我 的 微软 股票 。 

-Bennie 

HE 20 份 股份 ， 可 能 是 这 个 投资 者 完全 例 行 的 事件 。 该 投资 者 和 
经 纪 人 可 能 并 不 关心 这 个 交易 是 否 完全 免 遭 窃听 。 不 过 ， 他 们 可 能 认 
为 ， 确 保 这 个 出 售 通知 来 自 Bennie 而 非 其 他 伪装 成 Bennie 的 某 个 人 更 
重要 。 

数字 签名 方法 用 于 确保 数据 来 自 其 所 属 的 数据 产 ， 并 且 该 数据 在 
其 交付 路 径 中 没有 被 更 改过 。 

数字 签名 就 是 与 报 文 包括 在 一 起 的 一 块 加 密 数据 。 这 块 加 密 数据 
有 时 被 称 为 鉴别 码 (authenticator) 。 数 字 签 名 通常 逆向 使 用 公开 密 钥 
加 密 过 程 《 见 图 11.13) o 
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图 11.13 数字 签名 过 程 


1. 计算 机 B 想 要 发 送 一 个 具有 数字 签名 的 文档 给 计算 机 A。 计 算 
机 B 根 据 验 证 文档 内 容 所 需 的 信息 ， 创 建 一 小 段 数据 。 换 句 话说 ， 就 
是 对 文档 中 的 一 些 位 执行 某 种 数学 计算 ， 以 得 到 一 个 值 。 鉴 别 码 可 能 
还 包含 其 他 可 用 来 验证 消息 真实 性 的 信息 ， 例 如 一 个 时 间 戳 值 ， 或 其 
他 将 把 鉴别 码 与 其 附着 的 消息 关联 起 来 的 参数 。 

2. 计算 机 B 使 用 一 个 私有 密 钥 加 密 鉴 别 码 (注意 ， 这 是 上 一 小 
节 中 描述 的 公开 密 钥 加 密 过 程 的 逆向 。 在 上 一 小 节 中 ， 私 有 密 钥 解密 
SUE) 。 鉴 别 码 然后 被 附 于 要 传输 的 文档 ， 该 文档 再 被 发 送 给 计算 机 
Ao 

3. 计算 机 A 接 收 数据 ， 并 使 用 计算 机 B 的 公开 密 钥 解 密 相应 的 鉴 
别 码 。 鉴 别 码 中 的 信息 使 得 计算 机 A 可 以 验证 该 数据 是 否 在 传输 过 程 
中 被 更 改过 。 实 际 上 ， 数 据 可 以 使 用 计算 机 B 的 公开 密 钥 进行 解密 ， 
即 证 实 该 数据 是 使 用 计算 机 B 的 私有 密 钥 加 密 的 ， 这 就 确保 数据 来 自 
计算 机 B。 

数字 签名 以 这 种 方式 确保 数据 没有 被 更 改过 ， 而 且 它 来 自 其 推定 
的 数据 产 。 作 为 一 项 基本 的 安全 措施 ， 整 个 消息 都 可 以 使 用 计算 机 B 
的 私有 密 钥 进行 加 密 ， 而 不 仅仅 是 鉴别 码 。 然 而 ， 使 用 私有 密 钥 加 


密 ， 再 使 用 公开 密 钥 解 密 ， 实 际 上 并 不 可 靠 ， 因 为 用 来 解密 的 公开 密 
钥 是 通过 Internet 发 送 的 ， 因 此 可 能 并 不 保密 。 一 个 获得 公开 密 钥 的 

窃听 者 可 以 解密 加 密 后 的 鉴别 码 。 不 过 ， 该 窃听 者 将 无 法 再 加 密 一 个 
新 的 鉴别 码 ， 因 此 也 惑 无 法 伪装 成 计算 机 B。 


11.4.5 数字 证 书 


使 得 任何 提出 请 求 的 人 都 可 以 获得 公开 密 钥 的 重大 设计 是 一 项 有 
趣 的 解决 方案 ， 但 是 仍然 存在 一 些 局 限 性 。 事 实 上 ， 攻 击 者 仍然 可 以 
利用 公开 密 钥 进行 恶作剧 。 攻 击 者 可 以 解密 数字 签名 ， 或 者 甚至 可 以 
读 取 使 用 相应 用 户 私 有 密 钥 加 密 的 密码 。 提 供 某 种 安全 系统 ， 用 于 确 
保 谁 可 以 获得 公开 密 钥 的 访问 权 ， 这 样 会 更 安全 一 些 。 

对 于 这 个 问题 的 一 种 解决 方法 就 是 所 谓 的 使 用 数字 证 书 。 数 字 证 
书 实质 上 就 是 公开 密 钥 的 一 个 加 密 副 本 。 相 应 的 认证 过 程 如 图 11.14 所 
示 。 这 个 过 程 需 要 一 台 第 三 方 的 证 书 服务 器 ， 它 与 想 要 通信 的 双方 都 
有 一 个 安全 的 联系 。 证 书 服务 器 也 被 称 为 认证 中 心 ( Certificate 
Authority，CA) 。 


证 书 服务 器 


(8) 用 户 A 获得 用 来 
解密 来 自 认证 服 
务 器 的 证 书 的 密 
oI 


© 用 户 日 向 证 书 

服务 器 发 送 公 
开 密 钥 并 接收 
加 密 后 的 证 书 


包含 用 户 B 的 公开 密 钥 
的 证 书 被 传输 给 用 户 A 


(4) 用 户 A 使 用 用 户 B 的 公开 
密 钥 与 用 户 B 进行 通信 


图 11.14 利用 数字 签名 进行 身份 验证 


有 几 家 公司 为 Internet 提 供 证 书 服务 ， 其 中 一 家 主要 的 证 书 中 心 是 
VeriSign 公 司 。 一 些 大 型 公司 也 提供 它们 自己 的 证 书 服务 。 不 同 厂 商 的 
认证 过 程 有 所 不 同 。 下 面 概述 一 下 该 过 程 。 

1. 用 户 B 通 过 一 个 安全 通信 ， 将 其 公开 密 钥 的 一 个 副本 发 送 给 证 
书 服 务 器 。 

2. 证 书 服务 器 使 用 另 一 个 密 钥 加 密 用 户 B 的 公开 密 钥 (以 及 其 他 
APS) 。 这 个 新 加 密 的 数据 包 被 称 为 证 书 。 与 该 证 书包 含 在 一 起 
的 是 证 书 服务 器 的 数字 签名 。 

3. 证 书 服务 器 将 证 书 返 回 给 用 户 B。 

4. 用 户 A 需 要 获得 用 户 B 的 公开 密 钥 。 计 算 机 A 向 计算 机 B 请 求 用 
户 B 的 一 个 证 书 副本 。 


5. 计算 机 A 通过 与 证 书 服务 器 的 安全 通信 ， 获 得 用 来 加 密 证 书 的 


6. 计算 机 A 使 用 从 证 书 服务 器 获得 的 密 钥 解密 证 书 ， 并 提取 用 户 
B 的 公开 密 钥 。 计 算 机 A 同时 检查 证 书 服务 器 的 数字 签名 ( 见 步 又 
2) ， 以 确保 该 证 书 是 可 信 的 。 

这 种 认证 过 程 最 著名 的 标准 是 X.509 标 准 ， 它 在 多 个 RFC 中 均 有 描 
述 。X.509v3 在 RFC 2459 和 后 续 RFC 中 就 有 描述 。 最 新 的 RFC 版 本 是 
5280。 

数字 证 书 的 过 程 是 为 用 户 团 体 而 设计 的 。 你 可 能 也 猜 到 了 ， 该 过 
程 的 安全 性 依赖 于 与 证 书 服务 器 通信 所 需 的 所 有 密 钥 的 安全 分 发 。 这 
可 能 看 起 来 好 像 只 是 转移 了 问题 (您 通过 预先 假定 与 证 书 服务 器 的 安 
全 通信 来 保证 与 远程 主机 的 安全 通信 ) 。 然 而 ， 受 保护 的 通信 通道 被 
限于 单 台 证 书 服务 器 (而 不 是 团体 内 任何 可 能 的 主机 ) 的 事实 ， 使 得 
为 确保 安全 交换 而 强加 额外 安全 措施 的 系统 开销 更 为 可 行 。 

本 章 前 面 描述 的 认证 过 程 假定 分 配给 计算 机 A 的 证 书 服务 器 ， 与 
为 用 户 B 提 供 证 书 的 服务 器 是 同一 台 。 在 大 型 网 络 中 ， 该 认证 过 程 可 
能 实际 上 需要 许多 四 处 分 散 的 证 书 服务 器 。 在 那 种 情况 下 ， 该 过 程 可 
能 需要 与 其 他 证 书 服务 器 进行 一 系列 的 通信 和 证 书 交换 ， 以 到 达 提 供 
用 户 B 证 书 的 那 台 服务 器 。 正 如 RFC 2459 所 述 :“ 一 般 而 言 ， 可 能 需 
一 连 捉 多 个 证 书 ， 包 括 由 一 个 CA 签署 的 公开 密 钥 所 有 者 (终端 实体 ) 
的 证 书 ， 以 及 零 或 多 个 由 其 他 CA 签署 的 另外 的 CA 证 书 。 这 样 的 证 书 
链 (被 称 为 认证 路 径 ) 是 必需 的 ， 因 为 公开 密 钥 用 户 最 初 只 有 有 限 几 
个 有 保证 的 CA SFAH. "RES, MRE BADIA MARA ASA 
节 一 样 ， 这 个 过 程 也 内 置 于 软件 中 ， 而 且 不 需要 用 户 直 接 监视 。 

在 本 章 稍 后 讨论 的 一 些 TCP/IP 安 全 协议 (例如 SSL 和 IPSec) 中 ， 
将 使 用 到 X.509 认 证 过 程 。 


11.4.6 TCP/IP 


最 近 几 年 ， 厂 商 们 一 直 忙 于 扩展 和 推广 他 们 的 TCP/IP 实现 ， 以 并 
入 本 章 前 面 讨论 的 安全 和 加 密 技术 。 下 面 将 描述 加 密 技术 是 如 何 集成 
到 两 种 Internet 安全 协议 系统 (SSL/TLS 和 IPSec) 中 的 。 

其 他 公用 的 安全 协议 也 在 开发 之 中 ， 而 且 有 些 安全 软件 厂商 已 经 
开发 了 他 们 自己 的 系统 。 下 面 几 个 小 节 将 帮助 读者 对 在 某 个 真实 网 络 
的 业务 中 加 入 加 密 保证 所 需 解 决 方案 的 类 型 有 一 定 的 了 解 。 

1. SSL 和 TLS 

安全 套 接 层 (Secure Sockets Layer, SSL) 是 美国 Netscape 公 司 为 
保护 web 通 信 而 引入 的 一 个 TCP/IP 安全 协议 集 。SSL 的 目的 是 ， 在 传 
输 层 上 的 套 接 字 和 提供 那些 套 接 字 访问 网 络 的 应 用 程序 之 间 提 供 一 层 
安全 。 图 11.15 显示 了 SSL 在 TCP/IP 协议 栈 中 的 位 置 。 这 里 的 理念 
是 ， 在 SSL 被 激活 时 ， 网 络 服务 (例如 FTP 和 HTTP) 便 将 受到 安全 的 
SSL 协 议 的 保护 ， 以 免 遭 攻击 。 传 输 层 安全 (Transport Layer 
Security, TLS) 最 初 是 RFC 2246 中 描述 的 一 种 协议 标准 ， 其 最 新 的 更 
新 在 RFC 5246 中 有 讲述 。 它 以 SSL3.0 为 基础 ， 所 以 通常 被 认为 是 SSL 
的 一 个 后 续 产 品 ， 现 在 它 已 经 成 为 业界 标准 。 但 是 ， 在 产品 名 称 和 真 
实 的 软件 中 ,仍然 将 其 称 为 SSL。 下 面 简要 描述 一 下 SSL，TLS 协 议 与 
此 类 似 。 


| 


网 络 访问 层 


图 11.15 TCP/IP 栈 和 SSL 


仔细 查看 SSL 层 ， 可 以 发 现 它 包含 两 个 子 层 ( 见 图 11.16) o SSL 
记录 协议 (Record Protocol) 是 访问 TCP 的 一 个 标准 库 。 在 这 个 记录 协 
议 之 上 ， 是 一 组 执行 特定 服务 的 SSL 相 关 协 议 。 


dl SSL EE ‘ 应 用 层 协议 


图 11.16 SSL 协 议 


> SSL 握 手 协议 (Handshake Protocol) : 用 来 访问 TCP 的 基础 协 
议 。 

> SSL 更 改 密 文 规范 协议 (Change Cipher Spec Protocol) : 支持 
对 加 密 套 件 设置 的 更 改 。 

> SSLX (Alert Protocol) : 发 出 告警 。 

支持 SSL 的 服务 直接 通过 SSL 记 录 协 议 运 行 。 在 连接 建立 之 后 ， 
SSL 记 录 协 议 提供 确保 会 话机 密 性 和 完整 性 所 需 的 加 密 和 验证 。 

如 同 其 他 协议 安全 技术 一 样 ， 这 里 的 技巧 是 要 检验 参与 者 的 身份 
和 安全 地 交换 将 用 来 加 解密 数据 传输 的 密 钥 。SSL 采 用 公开 密 钥 加 
密 ， 并 提供 对 数字 证 书 的 支持 。 

SSL 握 手 协议 建立 相应 的 连接 ， 并 协商 所 有 连接 设置 (包括 加 密 
设置 ) o 

许多 网 站 利用 SSL 建立 一 个 安全 的 连接 ， 用 于 交换 财务 信息 以 及 
其 他 敏感 数据 。 带 有 SSL 加 密 的 一 个 HTTP Web 协议 版 本 被 称 为 
HTTPS。 绝 大 多 数 主流 浏览 器 很 少 或 根本 不 需要 用 户 输入 ， 就 能 够 建 
立 SSL 连 接 。SSL 的 一 个 问题 是 ， 由 于 SSL 在 传输 层 之 上 运行 ， 因 此 使 
用 相应 连接 的 应 用 程序 必须 能 够 感知 SSL (除非 它们 通过 可 以 感知 SSL 


的 兼容 软件 来 运行 ) 。 下 一 小 节 将 描述 另 一 种 TCP/P 安 全 系统 
(IPSec) ， 它 运行 在 一 个 较 低 的 层 ， 因 此 会 对 应 用 程序 隐藏 安全 系统 
的 具体 细节 。 

注意 : SSL 和 TLS 都 是 用 于 面向 连接 的 TCP 连 接 。 称 之 为 数据 报 传 
输 协议 安全 (Datagram Transport Protocol Security, DTLS) 的 另外 一 
种 协议 提供 了 类 似 于 TLS 的 安全 ， 它 可 以 支持 使 用 UDP 的 无 连接 通 
言 。 有 关 DTLS 的 更 多 细节 ， 请 参阅 RFC 4327。 

2. IPSec 

IP 安 全 (IPSec) 是 TCP/IP 网 络 上 使 用 的 另 一 种 安全 协议 系统 。 
IPSec 在 TCP/IP 协 议 栈 中 运行 ， 位 于 传输 层 之 下 。 由 于 安全 系统 在 传输 
层 之 下 实现 ， 因 此 在 传输 层 之 上 运行 的 应 用 程序 就 不 需要 安全 系统 的 
相关 知识 。IPSec 提供 对 机 密 性 、 访 问 控制 、 身 份 验证 和 数据 完整 性 
的 支持 。IPSec 还 可 防护 重 放 攻 击 ， 在 其 中 ， 攻 击 者 会 从 数据 流 中 提 
取 一 个 数据 包 ， 然 后 稍 后 重新 使 用 它 。 

IPSec 实质 上 是 对 IP 协 议 的 一 组 扩展 ， 它 在 多 个 RFC 中 均 有 描述 ， 
包括 RFC 2401、4301、4302 和 4303。 这 些 RFC 描 述 了 针对 IPv4 和 IPv6 
的 IP 安 全 扩展 。IPv6 协 议 系 统 结构 内 置 有 IPSec。 在 IPv4 中 ，IPv4 被 当 
作 是 一 个 扩展 ， 但 是 许多 IPv4 实 现 中 仍然 内 置 了 对 IPSec 的 支持 。 

IPSec 可 向 任何 网 络 应 用 程序 提供 基于 加 密 的 安全 的 好 处 ， 不 管 
该 应 用 程序 是 否 可 以 感知 到 安全 。 不 过 ， 相 互通 信和 的 两 台 计 算 机 的 协 
议 栈 都 必须 支持 PSec。 由 于 这 种 安全 措施 对 于 高 层 应 用 程序 来 说 是 
不 可 见 的 ， 因 此 ，IPSec 非常 适 于 为 像 路 由 器 和 防火 墙 之 类 的 网 络 设 
备 提 供 安全 。IPSec 可 以 以 下 面 两 种 模式 之 一 运行 。 

传送 模式 为 IP 数 据 包 的 载 倚 提供 加 密 。 该 载荷 然后 被 封装 进 一 
个 正常 的 IP 数 据 包 中 进行 传送 。 

> 隧道 模式 加 密 整个 I1P 数 据 包 。 加 密 后 的 数据 包 ， 然 后 被 作为 载 
傈 封装 到 进 另 一 个 外 部 数据 包 。 


隧道 模式 可 以 用 来 构建 一 个 安全 的 通信 隧道 ， 在 其 中 ， 网 络 的 所 
有 细 世 都 将 被 隐藏 起 来 。 窃 听 者 甚至 无 法 读 取 报头 以 获取 数据 产 卫 地 
址 。IPSec 隧道 模式 通常 用 于 虚拟 专用 网 络 (VPN) 产品 ， 它 们 用 来 
在 公用 网 络 中 创建 一 个 完全 专用 的 通信 隧道 。 

IPSec 使 用 许多 加 密 算 法 和 密 钥 分 发 技术 ， 数 据 使 用 像 AES、RC5 
或 Blowfish 这 样 的 常规 加 密 算法 进行 加 密 ， 身 份 验证 和 密 钥 分 发 可 能 
会 使 用 公开 密 钥 技术 。 

3. 虚拟 专用 网 络 (VPN) 

远程 访问 的 问题 已 经 在 本 书 中 出 现 过 很 多 次 了 。 这 个 问题 实际 上 
已 经 是 贯穿 TCP/IP 发 展 的 一 个 重要 问题 。 您 如 何 连接 距离 不 是 很 近 、 
不 够 采用 LAN 样式 电线 连接 的 计算 机 呢 ? 系统 管理 员 总 是 依靠 以 下 
两 种 重要 的 方法 进行 远程 连接 。 

> 拨号 : 远程 用 户 通过 调制 解 调 器 连接 到 某 个 拨号 服务 器 ， 后 者 
充当 到 网 络 的 一 个 网 关 。 

> TEM (WAN) : 两 个 网 络 通过 租用 电话 公司 或 Internet 服务 
提供 丙 的 专用 线路 连接 在 一 起 。 

这 两 种 方法 都 有 人 缺点。 众所周知 ， 拨 号 连接 速度 很 慢 ， 而 且 它 们 
依赖 于 电话 连接 的 质量 。WAN 连 接 有 时 也 比较 慢 ， 但 是 ， 更 重要 的 
是 ， 构 建 和 维护 WAN 会 比较 昂贵 ， 而 且 它 不 可 移动 。 对 于 带 着 笔记 本 
电脑 四 处 旅行 、 位 置 不 定 的 远程 用 户 来 说 ， 就 不 能 选用 WAN 连 接 。 

这 些 问 题 的 一 种 解决 办 法 是 ， 通 过 开放 式 的 Internet 直接 连接 到 
远程 网 络 。 这 个 解决 方案 快速 、 方 便 ， 但 是 Internet 上 充满 敌意 和 不 
安全 因素 ， 如 果 不 提供 某 种 防止 窃听 的 方式 ， 那 么 这 样 的 选择 完全 是 
不 可 行 的 。 专 家 开始 考虑 ， 是 否 有 某 种 方式 可 以 利用 加 密 工 具 来 创建 
一 个 穿 过 公用 网 络 的 专用 通道 。 这 个 问题 的 解决 方案 后 来 便 形成 了 我 
们 现在 所 知道 的 虚拟 专用 网 络 (Virtual Private Network, VPN) o 


VPN 建 立 一 个 横 穿 网 络 的 点 对 点 “隧道 ”， 通 过 它 ， 普 通 的 TCP/IP 流 量 
即 可 安全 地 进行 传递 。 

注意 : VPN 协 议 

本 章 前 面 所 讲解 的 IPSec 是 一 种 支持 安全 网 络 连 接 的 协议 ， 而 VPN 
就 是 连接 本 身 。VPN 应 用 程序 就 是 创建 和 维持 这 些 专用 远程 连接 的 程 
序 。 有 些 VPN 工 具 利 用 IPSec 进行 加 密 ， 有 些 则 依赖 于 其 他 SSL 或 其 他 
加 密 技术 。Microsoft 的 系统 通过 “点 对 点 隧道 协议 ”( 源 自 PPP 调 制 解 调 
器 协议 ) 提供 VPN 隧 道 功能 ; 比较 新 的 Microsoft 系 统 为 VPN 会 话 采 用 
“第 2 层 隧 道 协议 ”(L2TP) o 

如 果 传送 链 中 的 每 一 台 路 由 器 都 需要 知道 加 密 密 钥 ， 那 么 本 章 前 
面 所 描述 的 加 密 技术 将 无 法 很 好 地 发 挥 人 作用。 加密 是 针对 点 对 点 连接 
的 。 这 里 的 理念 是 ， 远 程 服务 器 上 的 VPN 客户 端 软件 与 一 台 充 当 所 在 
网 络 网 关 的 VPN 服 务 器 建立 连接 ( 见 图 11.17) 。VPN 客 户 端 和 服务 器 
交换 通过 Internet 正 常 传递 的 、 可 路 由 的 明文 TCP/IP 数 据 报 。 不 过 ， 通 
过 VPN 连 接 发 送 的 载荷 〈 即 数据 ) ， 实 际 上 就 是 加 密 后 的 数据 报 。 加 
密 后 的 数据 报 (在 开放 的 Internet 上 是 不 可 读 的 ) 被 封装 入 可 读 取 的 明 
文 数据 报 中 ， 再 转发 给 VPN 服 务 器 。VPN 服 务 器 软件 接着 提取 加 密 后 
的 数据 报 ， 利 用 加 密 密 钥 解密 该 数据 报 ， 然 后 将 封装 数据 转发 至 受 保 
护 网 络 上 的 目的 地 址 。 


Internet 


带 有 加 密 载荷 
的 正常 数据 报 


zz Ye 在 受 保护 
用 户 Bae 的 LAN E 
安全 传递 


图 11.17 VPN 通 过 公共 网 络 提供 专用 隧道 


RE VPN 客户 端 和 服务 器 之 间 发 送 的 未 加 密 数 据 包 有 可 能 被 截 
获 ， 但 是 有 用 信息 都 在 加 密 后 的 载荷 中 ， 没 有 必要 的 密 钥 ， 那 个 窃贼 
将 无 法 解密 它 。 

随 着 VPN 的 出 现 ， 现 在 用 户 可 以 轻易 地 越过 Internet， 与 远程 网 络 
建立 安全 的 、 类 似 LAN 的 连接 。 在 大 多 数 系统 上 ， 有 关 建 立 和 维护 
VPN 连 接 的 细节 ， 均 在 相应 的 软件 中 处 理 。 用 户 只 需要 启动 VPN 应 用 
程序 ， 然 后 输入 身份 验证 信息 。 在 连接 建立 之 后 ， 用 户 就 可 以 像 连 接 
在 本 地 一 样 与 远程 网 络 交 互 了 。 

4. Kerberos 

Kerberos 是 一 种 基于 网 络 的 身份 验证 和 访问 控制 系统 ， 用 来 支持 
跨 政 意 网 络 的 安全 访问 。 它 是 美国 麻 省 理工 学 院 (MIT) 作为 “雅典 
娜 ”计划 的 一 部 分 而 开发 的 。Kerberos 系统 最 初 计划 用 于 基于 UNIX 的 


系统 ， 但 是 后 来 被 移植 到 其 他 环境 。Microsoft 就 为 Windows 网 络 提供 
了 一 个 Kerberos 版 本 。 

现在 你 可 能 也 已 经 知道 ， 对 于 敌意 网 络 上 的 安全 通信 问题 ， 较 简 
洁 的 回答 就 是 加 密 。 较 长 的 回答 则 是 提供 一 种 手段 ， 来 保护 加 密 密 钥 
的 安全 。Kerberos 提供 一 种 系统 的 方法 ， 用 于 向 通信 主机 分 发 密 钥 ， 
并 检验 请 求 访问 某 一 服务 的 客户 端的 证 书 。 

Kerberos 系 统 使 用 被 称 为 密 钥 分 发 中 心 (Key Distribution Center, 
KDC) 的 服务 器 来 管理 密 钥 分 发 过 程 。Kerberos 身 份 验 证 过 程 涉及 以 
下 3 个 实体 的 关系 。 

> 客户 端 : 请 求 访问 服务 器 的 计算 机 。 

> 服务 器 : 在 网 络 上 提供 服务 的 计算 机 。 

> KDC: 指定 为 网 络 通信 提供 密 钥 的 计算 机 。 

Kerberos 身 份 验证 过 程 如 图 11.8 所 示 。 注 意 ， 这 个 过 程 假定 KDC 已 
经 有 一 个 共享 的 密 钥 可 以 用 来 与 这 里 的 客户 端 进行 通信 ， 还 有 一 个 共 
享 的 密 钥 可 以 用 来 与 这 里 的 服务 器 进行 通信 。 这 些 密 钥 用 来 加 密 一 个 
新 的 会 话 密 钥 ， 客 户 端 和 服务 器 将 使 用 它 进 行 相互 通信 。KDC 用 来 为 
客户 端 和 服务 器 加 密 数 据 的 那 两 个 单独 密 钥 被 称 为 长 期 密 钥 。 长 期 密 
钥 通常 产生 于 KDC 和 另 一 台 计 算 机 共享 的 一 个 秘密 。 一 般 而 言 ， 客 户 
端 长 期 密 钥 产生 于 客户 端 和 KDC 都 知道 的 用 户 登 录 密 码 的 一 个 哈 
希 。 


((1) 使 用 服务 器 的 长 期 密 角 
加 密 的 会 话 票 证 与 会 话 
密 钥 捆绑 在 一 起 ， 然 后 
封装 近 发 给 客户 端的 加 
密 数据 包 内 


服务 器 解密 会 话 票 证 以 获 
取 会 话 密 钥 ， 然 后 使 用 会 
话 密 钥 来 解密 文 电 鉴别 码 


(2) 客户 端 使 用 会 话 密 钥 封装 加 
密 文 电 鉴别 码 ， 然 后 将 会 话 
票证 和 加 密 后 的 文 电 鉴别 码 
发 送 给 服务 器 


图 11.18 Kerberos 身份 验证 过 程 


具体 过 程 如 下 。 在 您 读 完 这 个 过 程 时 ， 请 记 住 ，Kerberos 一 般 使 
用 常规 的 (对称 ) 加 密 技 术 ， 而 不 是 公开 密 钥 〈 非 对 称 ) 加 密 技术 。 
换 句 话说 ， 每 次 交换 的 双方 均 使 用 相同 的 密 钥 。 

1. 这 里 的 客户 端 想 要 访问 服务 器 A 上 的 某 个 服务 。 它 向 KDC 发 送 
一 个 请 求 来 访问 服务 器 A 上 的 服务 (在 某 些 情况 下 ， 客 户 端 已 经 经 过 
身份 验证 ， 并 接收 到 一 个 单独 的 会 话 密 钥 ， 用 于 加 密 与 KDC 上 票证 授 
予 服务 的 通信 ) 。 

2. 这 里 的 KDC 执 行 以 下 步骤 。 

a. KDC 生 成 一 个 会 话 密 钥 ， 该 密 钥 将 用 来 加 密 客户 端 和 服务 器 A 
之 间 的 通信 。 

b. KDC 创 建 一 个 会 话 票 证 (session ticket) ， 它 包括 步骤 2a 中 所 
生成 的 会 话 密 钥 的 一 个 副本 。 该 票证 还 包含 时 间 戳 信息 以 及 有 关 正 在 
请 求 访问 的 客户 端的 信息 ， 例 如 客户 端 安全 设置 。 


c. KDC 使 用 服务 器 A 的 长 期 密 钥 加 密 刚 创 建 的 会 话 票 证 。 

d. KDC 为 客户 端 捆绑 加 密 后 的 会 话 票 证 、 会 话 密 钥 的 一 个 副本 
以 及 其 他 响应 参数 ， 并 使 用 客户 端的 密 钥 加 密 整 个 数据 包 。 该 响应 然 
后 被 发 送 给 客户 端 。 

3. 客户 端 接收 来 自 KDC 的 响应 并 解密 。 客 户 端 将 获得 与 服务 器 A 
通信 所 需 的 会 话 密 钥 。 它 所 接收 到 的 数据 包 中 ， 还 包括 KDC 创建 的 
会 话 票证 ， 那 是 使 用 所 请 求 的 服务 器 的 长 期 密 钥 加 密 的。 客户 端 无 法 
读 取 该 会 话 票证 ， 但 是 它 知道 必须 将 此 票证 发 送 给 相应 的 服务 器 ， 才 
能 通过 身份 验证 。 客 户 端 创建 一 个 鉴别 码 〈 一 串 身 份 验证 参数 ) ， 并 
使 用 这 里 的 会 话 票 证 对 它 进行 加 密 。 

4. 客户 端 向 服务 器 A 发 送 一 个 访问 请 求 。 该 请 求 包括 上 述 会 话 
票证 〈 已 使 用 所 请 求 服务 器 的 长 期 密 钥 进行 加 密 ) 和 鉴别 码 (BER 
会 话 密 钥 进行 加 密 ) 。 这 里 的 鉴别 码 包括 用 户 的 名 称 、 网 络 地 址 和 时 
间 戳 信息 等 。 

5. 服务 器 A 接收 上 述 请 求 。 服 务 器 A 使 用 其 长 期 密 钥 解密 上 述 会 
话 票证 〈 见 步骤 2c) 。 服 务 器 A 从 会 话 票证 中 提取 会 话 密 钥 ， 并 使 用 
该 会 话 密 钥 解 密 鉴别 码 。 服 务 器 A 检验 鉴别 码 中 的 信息 是 否 与 包括 在 
会 话 票 证 中 的 信息 相 匹 配 。 如 果 是 ， 则 授予 对 所 请 求 服务 的 访问 权 。 

6. 作为 可 选 的 最 后 一 步 ， 如 果 客 户 端 想 要 检验 服务 器 A 的 证 书 ， 
服务 器 A 将 用 会 话 密 钥 加 密 一 个 鉴别 码 ， 并 将 这 个 鉴别 码 返回 给 客户 
Üo 

作为 一 种 为 网 络 提 供 统一 标准 登录 系统 的 手段 ，Kerberos 系 统 正 
越 来 越 流 行 。Kerberos 4 使 用 DES 加 密 技术 ， 本 章 前 面 已 经 讲 到 ， 许 多 
加 密 领域 的 专家 认为 该 技术 不 够 安全 。Kerberos 5 (TERFC 41201510 
中 定义 ) 则 支持 AES 和 其 他 加 密 类 型 。 

注意 : 3 个 头 ? 


如 果 您 曾 阅 读 过 有 关 Kerberos 的 叙述 ， 那 么 就 可 能 知道 Kerberos 这 
个 名 称 从 何 而 来 的 规范 描述 。 在 希腊 神话 中 ，Kerberos (也 称 为 
Cerberus) 是 一 头 守 护 冥 府 入 口 的 狗 ， 它 长 有 3 个 头 。 虽 然 这 个 名 称 的 
原始 含义 是 一 个 小 鬼 ， 但 是 现在 ， 这 个 故事 演变 成 了 那 三 个 头 就 是 
Kerberos 身 份 验证 过 程 的 3 个 要 素 (客户 端 、 服 务 器 和 KDC) o 
Kerberos 系 统 最 初 计 划 使 用 身份 验证 、 账 户 管 理 和 审核 这 三 个 头 ， 守 
护 网 络 的 入 口 ， 但 是 ， 其 中 的 后 两 个 头 (账户 管理 和 审核 从 未 实 
施 。 安 全 界 很 轻易 地 发 现 ， 相 对 于 把 相应 的 协议 重新 命名 为 相当 的 单 
KARIN, PVORARF (Lassie) ERABE (Buck) ， 重 新 调 
整 那个 暗喻 要 更 加 容易 一 些 。 


11.5 小 结 


Internet 上 有 几 百 万 的 用 户 ， 其 中 相当 数量 的 用 户 都 在 身体 力行 地 
搞 一 些 恶作剧 。 如 果 你 想 保护 隐私 和 资源 ， 则 在 进行 网 络 保护 时 需要 
发 挥 主观 能 动 性 。 本 章 讲 解 了 一 些 重要 的 安全 概念 ， 还 讲解 了 防火 墙 
和 入 侵 技 术 等 知识 。 此 外 ， 加 密 技术 以 及 与 加 密 技术 相关 的 某 些 安全 
特性 (比如 数字 签名 、TLS、IPSec 和 VPN) 也 在 本 章 中 得 以 体现 。 


11.6 115% 

问 : 有 状态 防火 墙 的 好 处 是 什么 ? 

答 : 通过 监视 连接 的 状态 ， 有 状态 防火 墙 可 以 注意 某 些 DoS 攻 
击 ， 以 及 无 效 的 数据 包 和 拦截 陷阱 或 被 操纵 的 会 话 。 

问 : DMZ 的 用 途 是 什么 ? 

答 : DMZ 的 用 途 是 提供 一 个 较为 完全 的 地 带 ， 使 之 比 内 部 网 络 更 
容易 访问 ， 但 又 提供 比 开放 的 Internet 更 多 的 保护 。 


11.7 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


11.7.1 问题 


1. 代理 服务 器 如 何 提 升 Web 服 务 器 的 响应 时 间 ? 

2. 为 什么 要 安装 更 新 ? 

3. Ellen 需 要 找到 一 个 方法 来 让 几 个 传统 的 网 络 应 用 程序 在 
Windows XP 计算 机 上 行 运 行 ， 而 且 她 已 经 知道 ， 在 使 用 这 些 应 用 程序 
进行 通信 时 ， 需 要 提供 机 密 性 ， 那 么 ， 她 应 该 使 用 TLS/SSL 还 是 IPSec 
Ne? 

4. 如 果 入 侵 者 哄骗 Kerberos 客户 端 把 一 个 会 话 票 证 发 送 到 错误 
的 服务 器 ， 则 会 发 生 什 么 ? 


11.7.2 练习 


1. 在 你 的 计算 机 上 查找 个 人 防火 墙 配 置 页 面 。 在 Windows 74, 
在 控制 面板 中 查找 Windows 防 火 墙 图 标 。 而 Mac OS 中 ， 选 择 “ 安 全 属 
性 ”对 话 框 ， 然 后 选择 “防火 墙 "。Linux 有 多 个 个 人 防火 墙 选 项 。 在 最 
近 版 本 的 Ubuntu 系 统 中 ， 选 择 “ 系 统 ” “管理 *”- “防火 墙 * 配 置 。 

2. 到 美国 政府 的 网 络 安全 公告 页 面 (http://www.us- 
cert.gov/bulletins) 上 ， 选 择 最 近 一 周 内 的 网 络 安 全 漏洞 汇总 。 研 究 其 
苦 述 并 在 本 章 查 询 某 些 相关 的 概念 ， 比 如 缓冲 区 溢出 和 拒绝 服务 。 


11.8 关键 术语 


复习 下 列 关 键 术 语 : 

> 高 级 加 密 标准 (Advanced Encryption Standard, AES) : — 
种 对 称 加 密 算法 ， 支 持 128、192 和 256 位 密 钥 长 度 。 

> 非 对 称 加 密 : 使 用 不 同 密 钥 进 行 加 密 和 解密 的 加 密 方法 。 

> 后 门 : 可 以 进入 计算 机 系统 的 一 条 隐藏 的 路 径 。 

> Blowfish: 一 种 对 称 加密 算 法 ， 支 持 最 多 448 位 密 钥 长 度 。 

> 缓冲 区 溢出 : 一 种 攻击 方法 ， 攻 击 者 向 系统 发 送 恶 意 的 命令 ， 
从 而 导致 应 用 程序 的 缓冲 区 超出 限度 。 

> 认证 中 心 (Certificate Authority, CA) : 监视 证 书 创 建 和 递 
送 过 程 的 中 央 权 威 。 

> 数据 加 密 标准 (Data Encryption Standard, DES) : 一 种 曾 
经 很 流行 的 对 称 加 密 算法 ， 但 是 现在 ， 因 为 其 较 短 的 56 位 密 钥 长 度 ， 
而 被 认为 不 够 安全 。 

> 拒绝 服务 攻击 (Denial of Service, DoS) : 通过 消耗 系统 资源 
来 使 受害 者 的 系统 无 法 提供 正常 服务 的 一 种 攻击 手段 。 

> 数字 证 书 : 一 种 加 密 的 数据 结构 ， 用 来 分 发 公开 密 钥 。 

> 数字 签名 : 用 来 检验 发 送 方 身 份 和 数据 完整 性 的 加 密 字符 串 。 

> DMZ: 安置 Intermet 服 务 器 的 一 个 中 间 地 带 ， 位 于 前 端 防火 墙 
之 后 ， 但 是 在 具有 更 严格 限制 的 后 端 防火 墙 (用 于 保护 内 部 网 ) 之 
Allo 

> 加 密 : 系统 地 修改 数据 的 过 程 ， 使 得 未 授权 的 用 户 无 法 读 取 它 
们 ]。 

> 加 密 密 钥 : 和 加 密 算法 一 起 用 来 加 密 或 解密 数据 的 一 个 值 GA 
常 秘密 保管 ) o 

> 防火 墙 : 一 种 用 于 限制 网 络 访问 内 部 网 的 设备 或 应 用 程序 。 


> IPSec (IPE) : 一 种 由 多 个 IP 协 议 扩展 组 成 的 安全 协议 系 


统 。 

> KDC ( 密 钥 分 发 中 心 ) : 在 Kerberos 网 络 上 管理 密 钥 分 发 过 程 
的 服务 器 。 

> Kerberos: 一 种 网 络 身份 验证 系统 ， 用 来 保证 通过 敌意 网 络 访 
问 服务 的 安全 性 。 


> 包 过 滤器 : 一 种 防火 墙 ， 可 以 通过 端口 号 或 其 他 能 够 标明 包 目 
的 的 协议 信息 过 滤 数 据 包 。 

> 网 络 钓鱼 : 利用 某 个 伪造 的 链接 、 消 息 或 网 页 来 诱 使 用 户主 动 
连接 到 某 个 欺诈 网 站 。 

> 私有 密 钥 : 非 对 称 加 密 中 使 用 的 一 种 密 钥 ， 它 被 秘密 保管 ， 并 
且 不 在 网 络 上 分 发 。 

> 代理 服务 器 : 用 于 代表 客户 端 对 服务 发 出 请 求 的 计算 机 或 应 用 
程序 。 

> 公开 密 钥 : 非 对 称 加 密 中 使 用 的 一 种 密 钥 ， 它 在 网 络 上 分 发 。 

> MORE: 用 于 接收 来 自 与 Internet 的 入 站 请 求 并 将 这 些 请 ; 
转发 给 内 部 网 服务 器 的 计算 机 或 应 用 程序 。 

> root 访 问 : 计算 机 系统 的 最 高 访问 权 。root 访 问 提供 对 相应 的 
系统 几乎 没有 限制 的 控制 。 

> Rootkit: 入 侵 者 用 来 扩展 和 伪装 其 对 某 一 系统 的 控制 的 一 组 
LA, 

> 脚本 小 子 : 年 轻 且 通常 处 于 青春 期 的 Internet 入 侵 者 ， 主 要 使 
用 Internet 上 可 以 得 到 的 现成 脚本 和 工具 进行 攻击 。 

> SEAR: 一 种 攻击 方法 ， 人 允许 攻击 者 在 现 有 TCP 会 话 中 插入 
恶意 数据 包 。 

> SSL (安全 套 接 层 ) : 一 种 最 初 由 Netscape 公 司 开发 的 安全 协 
议 系统 ， 它 在 TCP 协 议 的 上 方 运 行 。SSL 已 经 被 TLS 正 式 取 代 。 


> 有 状态 防火 墙 : 能 够 感知 连接 状态 的 防火 墙 。 

> 对 称 加 密 : 加 密 密 钥 和 解密 密 钥 完 全 相同 或 相关 的 加 密 方法 。 

> TLS (传输 层 安全 ) : 基于 SSL 的 一 种 安全 的 传输 层 协 议 。 

> 特洛伊 木马 : 一 种 号 称 做 某 一 件 事 ， 但 实际 上 在 后 台 进 行 其 他 
看 不 见 的 恶意 活动 的 程序 。 

> X.509: 一 种 描述 数字 证 书 过 程 和 格式 的 标准 。 


208 配置 


本 章 介 绍 如 下 内 容 : 
动态 地 址 分 配 ; 
+ DHCP; 

> NAT; 

> Sits. 


在 早期 的 网 络 中 ， 每 一 台 客 户 端 计算 机 都 会 拥有 一 个 静态 的 IP 地 
址 ， 这 个 地 址 被 保存 在 一 个 配置 文件 中 ， 这 就 意味 着 ， 如 果 需 要 更 改 
配置 ， 系 统管 理 员 就 必须 修改 配置 文件 。 然 而 ， 今 天 的 网 络 需要 一 种 
更 通用 和 更 便捷 的 方法 ， 如 今 大 多 数 的 计算 机 都 通过 动态 配置 或 自动 
配置 的 方式 来 运行 。 本 章 将 会 介绍 一 些 常见 的 技术 ， 这 些 技术 用 于 
配置 TCP/IP 网 络 。 


= 


完 学 完 本 章 后 ， 你 可 以 : 

> 描述 DHCP 及 其 带 来 的 好 处 ; 

> 描述 通过 DHCP 租 借 IP 地 址 的 过 程 ; 
> 描述 网 络 地 址 转换 的 用 途 ; 

> 理解 计算 机 如 何 使 用 零 配 置 协议 。 


12.1 2 


前 面 章 节 中 讲 到 的 相互 影响 的 协议 很 容易 让 读者 望而却步 ， 但 是 
如 今 的 操作 系统 都 能 够 很 好 地 上 自动 处 理 其 中 的 细节 。 人 在 安装 过 程 中 ， 
TCP 配 置 的 用 户 组 件 可 以 归结 为 几 个 简单 的 选择 。 

尽管 不 同 的 系统 所 采用 的 具体 方式 不 同 ， 但 是 我 们 经 常 采用 的 最 
基本 的 选择 如 下 所 示 : 

> 配置 静态 了 P 地 址 ; 

> 配置 计算 机 ， 使 其 通过 DHCP 来 接收 动态 IP 地 址 。 

在 大 多 数 情况 下 ， 你 需要 提供 一 个 名 称 作 为 网 络 中 计算 机 的 识别 
符 (有 关 主 机 名 、 域 名 系统 和 NetBIOS 名 称 解 析 的 更 多 内 容 ， 请 见 第 
10 章 ) 。 

本 章 后 面 将 会 讲 到 ， 即 使 你 的 计算 机 没有 使 用 静态 或 动态 地 址 配 
置 成 功 ， 有 些 系统 仍然 可 以 通过 零 配 置 技 术 来 执行 基本 的 TCP/IP 连 
网 。 零 配置 技术 在 最 近 几 年 日 渐 流行 。 

系统 安 半 好 后 ， 当 在 用 户 界 面 中 单 击 时 ， 每 一 个 操作 系统 的 任何 
版 本 所 需要 的 步骤 都 会 略微 不 同 ， 但 是 所 涉及 的 基本 概念 却 没 有 变 
化 。 本 章 将 讲解 如 何在 最 近 的 Windows、Mac OS 和 Ubuntu Linux 系 统 
中 配置 TCP/IP。 有 关 在 系统 中 配置 TCP/IP 的 更 多 细节 ， 请 见 系统 厂商 
提供 的 文档 。 

从 概念 层面 上 来 看 ， 静 态 的 TCP/IP 配 置 是 不 言 自明 的 ， 它 无 非 就 
是 输入 地 址 、 主 机 名 、 子 网 掩 码 和 网 管 路 由 器 。 动 态 地 址 的 配置 就 更 
加 容易 了 ， 但 是 当 你 告诉 计算 机 “接收 一 个 动态 IP 地 址 ?时 ， 实 际 上 你 
是 使 用 重要 的 动态 主机 配置 协议 (Dynamic Host Configuration 
Protocol, DHCP) 调用 了 一 系列 交互 ， 这 些 交互 在 幕后 发 生 。 本 章 首 
先 讲解 DHCP。 


12.2 是 供 IP 地 址 ; 


每 一 台 计 算 机 都 必须 拥有 一 个 IP 地 址 才能 在 TCP/IP 网 络 上 运行 。 
IP 寻 址 系统 最 初 是 为 这 样 的 逻辑 条 件 设计 的 : 即 每 一 台 计 算 机 都 已 经 
预先 配置 了 一 个 IP 地 址 。 这 种 情况 被 称 为 静态 IP 寻 址 。 每 一 台 计 算 机 
在 启动 时 就 知道 自己 的 IP 地 址 ， 并 且 能 够 立刻 使 用 网 络 。 静 态 IP 寻 址 
在 小 型 网 络 中 表现 得 很 好 ， 但 是 由 于 大 型 网 络 上 经 常会 出 现 重 新 配置 
NEN (例如 网 络 上 新 的 计算 机 连 入 或 者 断 开 ) 的 情况 ， 因 此 ， 静 态 
IP 寻 址 也 受到 很 多 限制 |。 

静态 IP 寻 址 有 如 下 一 些 缺 点 。 

> 更 多 的 配置 工作 : 每 一 个 客户 端 都 必须 单独 配置 ， 更 改 IP 地 址 
空间 或 者 其 他 一 些 参 数 (例如 DNS 服 务 器 地 址 ) 就 意味 着 每 一 个 客户 
端 都 必须 分 别 重 新 配置 。 

> 更 多 的 地 址 : 每 一 台 计 算 机 都 会 使 用 一 个 了 地址 ， 无 论 其 当时 
是 否 连 接 在 网 络 上 。 

> 减少 了 灵活 性 : 如 果 一 台 计 算 机 需要 分 配 不 同 的 子 网 ， 就 必须 
手动 重 配 这 人 台 机 器 。 

为 了 应 对 这 些 限制 ， 出 现 了 另 一 种 IP 寻 址 系统 。 在 这 个 系统 中 ， 
会 通过 基于 DHCP 协议 的 请 求 来 分 配 IP 地 址 。DHCP 是 产 自 于 早期 的 
BOOTP 协 议 ， 该 协议 主要 用 于 启动 无 盘 计 算 机 (无 盘 计 算 机 在 启动 时 
才 从 网 络 上 接收 整个 操作 系统 ) 由 于 IP 地 址 的 供应 日 益 减 少 ， 大 型 的 
动态 网 络 日 益 增长 ，DHCP 最 近 应 用 得 越 来 越 广 泛 。 

实际 上 ， 绝 大 多 数 计 算 机 在 访问 Internet 时 ， 都 是 通过 DHCP 接 收 
配置 的 。 将 家 庭 网 络 连接 到 Internet 上 的 小 型 路 由 器 /防火 墙 实 际 上 都 是 
一 个 DHCP 服 务 器 。 


12.3 什么 是 DHCP 


DHCP 是 一 个 用 来 向 计算 机 分 配 TCP/IP 配 置 参数 的 协议 。DHCP 最 
初 在 RFC 1531 中 定义 ， 随 后 在 RFC 1534、1541、2131 和 2132 中 得 以 更 
新 。DHCP 的 最 新 标准 是 RFC 2131， 它 纳入 了 RFC 3396、4361 和 5494 
中 的 更 新 。DHCP 服 务 器 可 以 为 DHCP 客 户 端 提供 一 组 TCP/IP 设 置 ， 比 
如 IP 地 址 、 子 网 掩 码 和 和 DNS 服务 器 地 址 。 

因为 DHCP 是 用 来 分 配 IP 地 址 的 ， 所 以 必须 使 用 静态 的 IP 地 址 信息 
来 配置 DHCP 服 务 器 。 需 要 在 客户 端 进行 配置 的 唯一 一 个 网 络 参数 是 
将 客户 端 设置 为 从 DHCP 服务 器 接收 IP 地 址 信息 。 其 他 的 TCP/IP 配 
置 都 会 通过 服务 传送 过 来 。 如 果 网 络 上 的 一 些 TCP/P 配 置 发 生 了 变 
化 ， 网 络 管理 员 只 需要 更 新 DHCP 服 务 器 ， 而 不 用 手动 更 新 每 一 台 客 
P iho 

另外 ， 每 台 客 户 端的 地 址 都 是 有 租 期 限制 的 。 在 租用 到 期 时 ， 如 
果 客 户 端 不 再 使 用 这 个 地 址 ， 此 地 址 将 会 被 分 配给 其 他 的 客户 端 。 
DHCP 的 这 种 租用 特性 ， 使 得 网 络 不 必 拥 有 与 客户 端 相 同 数 量 的 IP 地 
址 。 

竺 今天 的 网 络 环境 中 ， 由 于 许多 员工 会 在 不 同 的 办 公 地 点 使 用 自 
己 的 笔记 本 电脑 ， 因 此 DHCP 显 得 尤其 重要 。 如 果 一 个 笔记 本 电脑 使 
用 静态 IP 地 址 来 配置 ， 则 每 次 用 户 将 电脑 连 入 另 一 个 不 同 的 网 络 时 ， 
就 必须 重新 进行 配置 。 如 果 计 算 机 被 配置 成 从 DHCP 接收 IP 地 址 ， 只 
要 用 户 接 入 的 网 络 中 有 DHCP 服 务 器 ， 笔 记 本 电脑 就 会 自动 接收 完整 
的 TCP/IP 配 置 。 


12.4DHCP 如 何 工作 


当 DHCP 客 户 端 计算 机 启动 时 ，TCP/IP 软 件 将 被 载 入 到 内 存 中 并 
开始 执行 相应 的 操作 。 然 而 ， 因 为 这 时 TCP/IP 栈 还 没有 IP 地 址 ， 所 以 
无 法 直接 发 送 或 接收 数据 包 。 计 算 机 只 能 发 送 和 监听 广播 数据 。 这 种 
通过 广播 进行 通信 的 功能 正 是 DHCP 进 行 工 作 的 基础 。 从 DHCP 服 务 器 
中 租用 IP 地 址 的 过 程 需要 经 过 4 个 步骤 ( 见 图 12.1) o 


1.4 DHCP 服务 器 么 ? ” 


2.“ 这 是 我 的 地 址 。 试 试 我 的 地 址 ” 


3 我 喜欢 这 个 地 址 ” 


4.“ 好 的 。 暂 时 保留 它 ” 
DHCP 服务 器 


图 12.1 DHCP 服 务 器 向 网 络 客户 端 提供 一 个 IP 地 址 


1. DHCPDISCOVER: DHCP 客 户 端 首先 会 向 UPD 端 口 687 
(BOOTP 和 和 DHCP 服务器 使 用 的 端口 ) 广播 发 送 一 个 数据 包 。 这 个 数 
据 包 被 称 为 DHCP DISCOVER 消 息 ， 任 何 收 到 请 求 配置 信息 的 数据 包 
的 DHCP 服 务 器 都 可 以 响应 这 个 请 求 。DHCP DISCOVER 数 据 包 中 包 

含 了 很 多 字段 ， 但 是 其 中 重要 的 一 个 是 DHCP 客 户 端 的 物理 地 址 。 

2. DHCPOFFER: DHCP 服务 器 会 为 网 络 上 的 客户 端 提供 可 供 
租用 的 地 址 ，DHCP 服务 的 响应 数据 包 被 称 为 DHCP OFFER， 此 数据 
包 会 通过 广播 发 送 给 发 出 了 DHCP DISCOVER 的 计算 机 。 这 个 广播 会 
发 送 到 UDP 端口 68， 并 且 包 含 了 DHCP 客 户 端的 物理 地 址 。 此 外 ， 
DHCP OFFER 中 还 包含 了 DHCP 服 务 器 的 物理 地 址 和 耳 地 址 ， 以 及 提 
供给 DHCP 客 户 端的 IP 地 址 和 子 网 掩 码 。 

此 时 ， 如 果 有 多 个 DHCP 服 务 器 可 以 向 DHCP 客 户 端 提供 IP 地 址 ， 
那么 DHCP 客 户 端 就 可 能 收 到 多 个 DHCP OFFER。 在 大 多 数 情况 下 ， 
DHCP 客户 端 会 接受 第 一 个 到 达 的 DHCP OFFER。 


3. DHCPREQUEST: 客户 端 选择 了 一 个 OFFER 数 据 包 后 ， 会 构 
建 并 广播 一 个 请 求 数 据 报 。DHCP 请 求 数据 报 中 包含 了 发 送 OFFER 的 
服务 器 的 IP 地 址 以 及 DHCP 客 户 端的 物理 地 址 。DHCP 请 求 会 执行 两 个 
基本 任务 。 第 1 个 是 通知 被 选中 的 DHCP 服 务 器 ， 客 户 端 请 求 服务 器 向 
它 分 配 一 个 IP 地 址 (以 及 其 他 配置 设置 ) 。 第 2 个 任务 是 通知 其 他 的 
DHCP 服 务 器 它们 的 OFFER 没 有 被 接受 。 

4. DHCPACK: 对 于 发 出 的 OFFER 被 客户 端 选中 的 DHCP 服务 
器 ， 在 接收 到 DHCP 请 求 数 据 报时 ， 会 构造 整个 租用 过 程 中 的 最 后 一 
个 数据 报 。 这 个 数据 报 被 称 为 DHCP ACK (acknowledge 的 简写 ) o 
DHCP ACK 中 包含 了 一 个 租用 给 DHCP 客 户 端 的 了 地 址 和 子 网 掩 码 。 
另外 ， 还 可 以 选择 发 送 DHCP 客 户 端 需要 配置 的 默认 网 关 地 址 、 多 个 
DNS 服务 器 地 址 以 及 一 、 两 个 WINS 服 务 器 地 址 。 除 了 了 PP 地址 之 外 ， 
DHCP 客 户 端 还 可 能 接收 其 他 配置 信息 ， 例 如 NetBIOS 节 点 类 型 (CALA 

变 NetBIOS 名 称 解析 的 次 序 ) o 

DHCP ACK 中 包含 的 另外 3 个 关键 字段 都 是 用 来 表示 时 间 间 隔 
AY: 一 个 字段 表示 租 期 的 长 度 ; 另外 两 个 时 间 字 段 被 称 为 T1 和 T2， 在 
客户 端 更 新 期 租 期 时 使 用 。 


12.4.1 中 继 


如 果 DHCP 客 户 端 和 DHCP 服务 器 都 位 于 同一 个 网 段 内 ， 客 户 端 
获取 IP 地 址 的 过 程 与 前 面 描述 的 基本 相同 。 但 是 ， 如 果 DHCP 客 户 端 
和 DHCP 服务 器 位 于 被 一 个 或 多 个 路 由 器 分 隔 开 的 不 同 的 网 段 上 ， 整 
个 过 程 就 会 变 得 更 复杂 一 些 。 路 由 器 通常 是 不 能 将 广播 发 送 到 其 他 网 
络 上 的 。 为 了 使 DHCP 可 以 工作 ， 需 要 有 一 个 中 间 人 来 协助 完成 DHCP 
的 处 理 过 程 。 这 个 中 间 人 是 与 DHCP 客 户 端 在 相同 网 络 中 的 另 一 台 主 
机 (通常 就 是 路 由 器 ) 。 在 任何 情况 下 ， 执 行 这 个 中 间 人 功能 的 过 程 
PRI BOOTP 中 继 代理 或 者 DHCP 中 继 代 理 。 

中 继 代 理 必须 具有 固定 的 IP 地 址 ， 同 时 还 保存 有 DHCP 服 务 器 的 IP 
地 址 。 因 为 中 继 代 理 已 经 拥有 了 IP 地 址 ， 所 以 可 以 直接 向 DHCP 服 
务 器 发 送 数 据 报 ， 或 者 接收 来 自 于 DHCP 服 务 器 的 数据 报 。 由 于 中 继 
代理 与 DHCP 客 户 端 位 于 相同 的 网 络 上 ， 也 就 意味 着 它 可 以 通过 广播 
与 DHCP 客 户 端 进行 通信 ( 见 图 12.2) o 


209.114.43.97 


DHCP 
服务 器 


209.114.43.97 中 继 
DHCP 客户 端 
图 12.2 中 继 代 理 帮助 客户 端 到 达 本 地 网 段 之 外 的 DHCP 服 务 器 


中 继 代理 会 监听 去 往 UDP 端 口 68 的 广播 ; 当中 继 代 理 检 测 到 
DHCP 请 求 时 ， 就 将 这 个 请 求 转发 给 DHCP 服 务 器 。 当 代理 收 到 DHCP 
服务 器 的 响应 时 ， 就 将 响应 在 本 地 网 段 上 广播 。 这 个 解释 虽然 省 略 了 
一 些 细节 ， 但 是 很 好 地 概括 了 中 继 代理 的 基本 工作 过 程 。 

将 DHCP 服 务 器 安放 在 路 由 器 上 的 这 种 流行 做 法 ， 已 经 减少 了 大 
多 数 网 络 上 DHCP 中 继 服 务 的 要 求 。 有 关中 继 代理 的 细节 ， 请 参阅 
RFC 15420 


12.4.2 DHCP 时 间 字 段 


DHCP 客 户 端 从 DHCP 服 务 器 租用 IP 地 址 时 会 有 一 个 固定 的 租 期 。 
租 期 的 实际 长 度 通 常 是 在 DHCP 服 务 器 配置 的 。 通 过 DHCP ACK 消 息 
发 送 的 T1 和 T2 两 个 时 间 值 被 用 于 租 期 更 新 的 处 理 过 程 。T1 的 值 表示 
客户 端 应 该 在 这 个 时 刻 进行 租 期 的 更 新 。T1 通常 会 被 设置 成 实际 租 期 
的 一 半 。 在 下 面 的 例子 中 ， 假 设 租 期 是 8 天 。 

在 租用 的 第 4 天 ， 客 户 端 会 发 送 一 个 DHCP 请 求 ， 要 求 DHCP 服 务 
器 更 新 自己 IP 地 址 的 租 期 。 假 设 DHCP 服 务 器 在 线 ， 会 使 用 DHCP 
ACK 来 更 新 租 期 。 与 前 4 步 描 述 的 DHCP 请 求 和 ACK 包 不 同 ， 这 两 个 
数据 报 不 是 广播 发 送 的 ， 而 是 直接 进行 发 送 。 这 时 因为 ， 此 时 的 计算 
机 都 拥有 有 效 的 IP 地 址 。 

如 果 租 期 过 去 了 50% (第 4 天 ) ，DHCP 客 户 端 发 出 了 第 1 次 请 求 ， 
而 此 时 DHCP 服 务 器 恰好 不 可 用 ， 客 户 端 会 等 待 并 在 租 期 到 达 75% (EN 
第 6 天 ) 时 再 尝试 更 新 租 期 。 如 果 请 求 还 是 失败 ，DHCP 会 在 租 期 的 
87.5% ( 即 第 7 天 ) 进行 第 3 次 请 求 。 到 此 为 止 ， DHCP 客 户 端 已 经 尝试 
这 向 提供 租 期 的 DHCP 服 务 器 直接 发 送 了 多 个 请 求 数 据 报 。 如 果 在 租 
期 的 87.5% 时 ，DHCP 客 户 端 仍然 没有 更 新 自己 的 租 期 ，T2 时 间 将 派 上 
用 场 。DHCP 客 户 端 会 在 T2 时 间 开 始 向 网 络 中 的 DHCP 广 播发 送 请 求 。 
如 果 在 租 期 到 达 时 ，DHCP 客 户 端 既 不 能 更 新 自己 的 租 期 也 无 法 从 其 
他 的 DHCP 服务 器 获得 新 的 租 期 ， 客 户 端 必须 停止 使 用 这 个 IP 地 
址 ， 进 而 停止 常规 的 TCP/IP 网 络 操作 。 


12.5 DHCP 


除了 大 中 型 网 络 的 系统 管理 员外 ， 其 他 人 很 少 有 机 会 能 够 配置 安 
装 在 计算 机 上 的 DHCP 服 务 器 。 如 果 需 要 进行 这 项 工作 ， 就 应 该 查阅 
其 他 的 文档 ， 以 便 获 得 比 本 书 更 多 的 配置 信息 。Windows 提 供 了 一 个 
基于 GUI 的 工具 ， 即 DHCP 管 理 器 ， 来 协助 用 户 配 置 DHCP 服 务 器 。 

Linux 系 统 通过 dhcpd (用 于 提供 DHCP 的 后 台 程 序 ) 来 提供 DHCP 
服务 。 不 同 的 厂商 提供 了 各 自 的 dhcpd 安 装 指 南 。DHCP 的 配置 信息 被 
保存 在 /etc/dhcpd.conf 文 件 中 。 

etc/dhcpd.conf 文件 包含 DHCP 后 台 程 序 配 置 客 户 端 所 需 的 IP 地 
址 配置 信息 。etc/dhcpd.conf 文 件 还 包含 了 其 他 一 些 可 选 的 设置 ， 例 如 
广播 地 址 、 域 名 、DNS 服 务 器 地 址 和 路 由 器 地 址 。 下 面 是 一 个 
etc/dhcpd.conf 文 件 的 示例 : 

default-lease-time 600; 

max-lease-time 7200; 

option domain-name "macmillan.com"; 

option subnet-mask 255.255.255.0; 

option broadcast-address 185.142.13.255; 

subnet 185.142.13.0 netmask 255.255.255.0 { 

range 185.142.13.10 185.142.13.50; 

range 185.142.13.100 185.142.13.200; 

} 

本 章 前 面 提 到 ，DHCP 服 务 经 常会 绑 定 到 一 个 网 络 设备 上 ， 例 如 
路 由 器 /防火 墙 。 从 目 己 的 路 由 器 用 尸 手 车 上 可 以 获得 更 多 的 天 于 配置 
DHCP 的 信息 。 路 由 器 通常 会 提供 一 个 Web 配 置 界面 (WEA 12.3) o 
登录 到 路 由 器 的 配置 页 面 ， 修 改 DHCP 配置 。 在 大 多 数 情况 下 ， 无 需 
重新 配置 DHCP。 


图 12.3 在 家 用 路 由 器 上 配置 DHCP 


有 些 时 候 ， 可 能 需要 让 某 台 设备 拥有 永久 的 地 址 ， 而 网 络 中 其 他 
的 设备 则 使 用 动态 寻 址 。 例 如 ， 用 户 需要 使 网 络 打印 机 具有 永久 的 地 
址 ， 以 便 使 用 该 打印 机 的 计算 机 没有 必要 重复 获悉 它 的 地 址 。 一 些 路 
由 器 提供 了 名 为 IP 预 留 的 特性 ， 使 用 户 可 以 将 特定 的 IP 地 址 与 特定 的 
ME (MAC) 地 址 关联 起 来 。 这 个 特性 能 够 确保 设备 总 是 接收 到 相同 
的 IP 地 址 。 


12.6 网 络 地 址 NAT 


一 些 比较 专业 的 用 户 会 注意 到 ， 如 果 DHCP 服务 器 为 客户 端 提 供 
了 一 个 IP 地 址 ， 那 么 这 个 地 址 可 能 不 是 一 个 “公共 的 ?在 Internet 上 唯 
一 的 IP 地 址 。 只 要 路 由 器 自己 具有 在 Intemet 上 有 效 的 IP 地 址 ， 那 么 路 
由 器 就 可 以 成 为 网 络 客户 端的 代理 ， 从 客户 端 接收 请 求 ， 向 Internet 地 
址 空间 转发 这 个 请 求 ， 进 而 接收 来 自 于 Internet 地 址 空间 的 响应 。 许 多 
路 由 器 /DHCP 设 备 都 可 以 提供 名 为 网 络 地 址 转换 (NAT) 的 服务 。 

NAT 设 备 能 够 屏 炎 本 地 网 络 的 所 有 细节 ， 事 实 上 ， 也 能 够 隐蔽 本 
地 网 络 。 图 12.4 所 示 为 一 个 NAT 设 备 。NAT 设 备 可 以 作为 本 地 计算 机 
访问 Internet 的 网 关 。 在 NAT 设 备 之 后 ， 本 地 网 络 可 以 使 用 任何 网 络 地 
址 空间 。 当 本 地 计算 机 需要 连接 Internet 资 源 时 ，NAT 设 备 会 蔡 这 人 台 计 
算 机 进行 连接 。 所 有 从 Internet 资产 发 送 来 的 数据 包 都 会 被 转换 成 本 
地 网 络 的 地 址 格式 ， 接 着 被 发 送 给 发 起 连接 的 本 地 计算 机 。 


Internet 


1111 1111111111154 


SHA | IP 192.134.24.6 


IP 10.0.0.7 
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图 12.4NAT 设 备 


由 于 NAT 设备 可 以 阻止 外 部 的 攻击 者 发 现 本 地 网 络 ， 所 以 它 能 够 
提升 网 络 的 安全 性 。 对 外 部 世界 而 言 ，NAT 设 备 看 上 去 就 好 像 是 一 台 
单独 连接 在 Internet 上 的 主机 。 即 使 攻击 者 知道 本 地 网 络 上 计算 机 的 地 
址 ， 也 不 能 够 打开 与 本 地 网 络 的 连接 ， 这 是 因为 本 地 网 络 的 寻 址 模式 


与 Internet 地 址 空间 是 不 相关 的 。 在 第 4 章 中 讲 到 ， 少 量 的 IP 地 址 范围 被 
留 给 了 “私有 ”网 络 : 

10.0.0.0 ~ 10.255.255.255 

169.254.0.0 ~ 169.254.255.255 

172.16.0.0~ 172.31.255.255 

192.168.0.0 ~ 192.168.255.255 

在 本 章 后 面 将 会 讲 到 ，169.254.0.0~169.254.255.255 地 址 范围 是 一 
个 不 可 路 由 的 地 址 块 ， 它 主要 用 于 自动 配置 的 链 路 本 地 地 址 ，NAT 不 
能 使 用 它 。 

NAT 设 备 通常 从 这 些 私有 地 址 范围 来 分 配 了 地址。 这 些 地 址 一 般 
意义 上 是 不 可 路 由 的 ， 只 能 通过 地 址 转换 来 到 达 NAT 客 户 端 计算 机 。 
NAT 也 可 以 减少 各 个 公司 对 Internet 公 共 地 址 的 需求 。 只 有 充当 NAT 设 
备 的 路 由 器 才 需 要 能 够 在 Internet 上 使 用 的 真实 地 址 。 由 于 具有 节省 
Internet 地 址 以 及 私有 网 络 固 有 的 安全 性 这 两 大 优点 ，NAT 设 备 在 家 庭 
和 企业 网 络 中 使 用 得 越 来 越 广泛 。 

当然 ， 安 全 性 并 不 是 那么 容易 做 到 的 。 即 使 看 上 去 具有 十 分 坚固 
安全 性 的 NAT 设备 也 很 可 能 被 突破 。NAT 设 备 有 时 会 提供 通过 Internet 
进行 管理 的 特性 ， 如 果 不 关闭 这 些 特 性 ， 就 会 带 来 安全 漏洞 。 

随 着 NAT 的 增长 ， 有 更 多 的 攻击 技术 被 开发 出 来 ， 以 企图 绕 过 私 
有 网 络 的 天 然 防 御 。 攻 击 者 用 来 进入 私有 网 络 内 部 的 一 种 常见 的 方式 
是 ， 让 网 络 中 客户 端 邀 请 攻击 者 进入 私有 网 络 。 入 侵 者 会 发 送 一 个 虚 
假 的 web 页 面 链接 和 一 些 其 他 的 具有 吸引 力 的 内 容 ， 诱 骗 用 户 连 接 到 
一 个 高 风险 的 服务 器 系统 。 因 为 这 种 攻击 的 存在 ， 计 算 机 用 户 通常 会 
被 告诫 不 要 点 击 那 些 主动 发 送 来 的 电子 邮件 上 的 链接 。 现 在 的 Web 浏 
览 器 有 时 能 够 通过 识别 网 站 脚本 或 者 Web 攻击 方法 来 发 现 攻击 。 

注意 : IPv6 和 NAT 


下 一 代 IPv6 协 议 提 供 了 其 他 一 些 链 路 本 地 寻 址 特性 ， 而 且 这 些 特 
性 有 可 能 会 让 当今 网 络 中 使 用 的 NAT 设 备 成 为 多 余 。 有 关 IPv6 的 更 多 


细节 ， 请 见 第 13 章 。 


12.7 零 配置 


如 果 网 络 中 的 计算 机 都 配置 为 使 用 DHCP， 但 是 所 有 的 DHCP 服 务 
器 都 不 在 线 会 出 现 什 么 情况 呢 ? 此 时 ， 客 户 端 计 算 机 是 在 线 的 ， 并 一 
直 等 待 着 进行 通信 ， 却 没有 静态 的 了 也 地址， 也 无 法 从 DHCP 获得 动态 
地 址 。 另 一 种 情况 下 (尽管 这 种 情况 很 罕见 ) ， 用 户 可 能 需要 设置 一 
个 小 型 的 网 络 工作 组 ， 这 个 工作 组 不 需要 访问 Intermet 和 特殊 的 DHCP/ 
路 由 设备 ， 应 该 如 何 解决 呢 ? 

一 些 操作 系统 厂商 开发 了 几 种 技术 ， 人 允许 本 地 网 络 上 的 计算 机 在 
没有 静态 配置 或 基于 DHCP 的 动态 配置 的 情况 下 获得 网 络 连 接 。 先 前 
的 LAN 协 议 ， 如 NetBEUI (Windows 系 统 上 ) 和 AppleTalk (Apple 网 络 
E) 都 提供 了 这 种 无 需 配 置 的 连接 性 ， 因 此 这 些 厂商 可 以 将 这 些 协 议 
和 TCP/IP 一 起 使 用 。 

实现 这 种 方法 的 第 一 步 是 一 个 被 称 为 “ 链 路 本 地 寻 址 ”(IPV4LL) 
的 概念 。 链 路 本 地 寻 址 从 Mac OS 9 开始 被 引入 了 Apple 的 系统 ， 同 时 从 
Windows 98 开 始 也 被 引入 到 Windows 系 统 中 。 

Microsoft 将 IPv4LL 的 Windows 版 本 称 为 自动 私有 IP 地 址 寻 址 
(APIPA) 。 如 果 Windows 计 算 机 没有 静态 IP 地 址 ， 也 无 法 接收 动态 
地 址 ， 就 会 为 自己 分 配 一 个 私有 (不 可 路 由 ) 的 地 址 ， 地 址 范围 从 
169.254.0.0~169.254.255.255。 如 果 本 地 网 络 上 的 其 他 计算 机 具有 相同 
的 情况 ， 它 们 也 会 从 这 个 地 址 范围 内 为 自己 分 配 一 个 未 被 使 用 的 IP 地 
址 。 这 样 ， 这 些 计 算 机 就 可 以 开始 在 本 地 网 络 上 进行 通信 了 。 当 然 ， 
由 于 这 些 地 址 是 不 可 路 由 的 ， 所 以 计算 机 将 不 能 访问 Internet 和 本 地 网 
络 之 外 的 资源 。 

APIPA 的 核心 特点 是 不 需要 进行 配置 ， 因 此 这 里 就 不 用 介绍 如 何 
配置 它 。 大 多 数 nme 个 注册 表 的 键 值 ， 用 来 关闭 
APIPA。 用 户 可 以 查询 Windows 的 文档 获得 这 方面 的 信息 。 


APIPA 可 能 造成 一 些 疑 难 故障 。 例 如 ， 如 果 网 络 上 的 其 他 计算 机 
配置 正常 ， 而 只 有 一 台 计 算 机 无 法 被 访问 ， 可 以 查看 是 否 这 台 计 算 机 
没有 找到 DHCP 服 务 器 ， 从 而 自己 配置 了 与 本 地 地 址 空间 不 相 容 的 
APIPA 地 址 。 

一 种 最 新 的 技术 Zeroconf (SHE) ， 能 够 提供 更 强大 的 和 
完整 的 无 配置 环境 。Zeroconf 扩展 了 IPv4LL 的 体系 ， 为 小 型 本 地 网 络 
提供 了 更 完整 的 网 络 连 接 环 境 。Zeroconf 系 统 是 在 Apple 的 Macintosh 系 
统 下 的 Bonjour 中 实现 的 。 新 近 的 Windows 系 统 版 本 也 通过 使 用 一 个 不 
同 的 协议 系统 提供 了 与 零 配置 技术 相似 的 功能 。Linux 和 UNIX 系统 
的 Zeroconf 实 现 与 Apple 的 版 本 相似 。 

这 种 新 的 零 配置 环境 有 3 个 重要 的 部 分 。 

> 链 路 本 地 寻 址 : 计算 机 为 自己 配置 私有 的 IP 地 址 ， 地 址 范围 
是 169.254.0.0169.254.255.2550 

> 多 播 DNS: 无 需 服务 器 或 预先 配置 的 主机 文件 进行 DNS 名 称 解 
析 。 将 名 称 解 析 成 IP 地 址 (或 者 将 IP 地 址 解析 成 名 称 ) 是 通过 查询 特 
定 IP 地 址 和 端口 号 完成 的 。 其 他 设备 监听 发 向 这 个 地 址 的 请 求 ， 进 而 
做 出 相应 的 响应 。 

> DNS 服务 发 现 : 客户 端 用 来 找到 网 络 上 可 用 服务 的 一 种 方法 。 

这 些 组 件 之 间 的 相互 影响 创造 了 一 种 环境 ， 使 计算 机 可 以 无 需 预 
先 配 置 TCP/IP 就 能 够 启动 ， 接 收 本 地 兼容 的 不 可 路 由 的 IP 地 址 ， 将 它 
的 主机 名 注册 到 本 地 网 络 中 的 其 他 计算 机 上 ， 通 过 类 似 于 网 络 邻 居 而 
且 具 有 点 选 类 型 的 文件 浏览 器 来 浏览 可 用 的 网 络 服务 〈 例 如 文件 和 打 
印 服务 器 ) o 

当 Apple 发 现 需要 为 简单 易 用 的 AppleTalk 网 络 环境 寻找 一 种 等 效 
于 DNS 的 技术 ， 而 且 该 技术 可 以 提供 零 配 置 方 法 来 浏览 和 访问 网 络 服 
务 和 设备 时 ， 他 们 开始 围绕 多 播 DNS 和 DNS 服务 发 现 开发 技术 。 这 些 
增强 的 DNS 服务 协同 工作 ， 为 查看 本 地 网 络 提 供 了 便利 ， 但 是 ， 需 要 


注意 的 是 ， 对 大 型 网 络 而 言 ， 这 些 技术 的 扩展 性 并 不 好 ， 它 们 只 能 用 
于 单个 LAN 网 络 中 的 小 型 网 络 。 

支持 多 播 DNS (mDNS) 的 计算 机 存储 着 它 自己 的 DNS 资源 记录 
的 内 部 表 ， 并 使 用 该 表格 将 名 称 解析 为 IP 地 址 。 在 图 12.5 中 ， 如 果 计 
算 机 遇 到 了 一 个 不 属于 上 述 表 中 的 名 称 ， 它 发 送 一 条 消息 到 多 播 地 址 
224.0.0.251。 支 持 多 播 DNS 的 其 他 计算 机 被 配置 为 在 该 地 址 上 监听 
DNS 查询 。 能 够 完成 该 查询 的 计算 机 返回 响应 ， 并 显示 正确 的 名 称 到 
IP 地 址 的 映射 。 


内 部 DNS & 


Curly 218.132.140.16 
Moe 218.132.140.18 
Larry 218.132.140.19 


图 12.5 在 多 播 DNS 中 ， 每 一 台 计 算 机 都 存储 着 它 自 己 的 DNS 表 
(在 真实 的 环境 中 ， 除 了 基本 的 名 称 到 IP 地 址 的 映射 之 外 ， 计 算 机 还 
传递 和 保存 其 他 DNS 信息 ) 


DNS 服务 发 现 (DNS-SD) 提供 了 一 种 方法 ， 可 以 让 计算 机 和 设 
备 通过 DNS 来 通告 它们 的 服务 。 许 多 新 出 现 的 小 玩意 儿 对 DNS 服务 发 
现 有 很 强 的 依赖 性 ， 而 且 许多 其 他 类 似 的 技术 也 可 以 使 得 在 不 需要 对 
设备 进行 预先 配置 的 情况 下 ， 就 能 让 设备 迅速 上 线 使 用 ， 并 发 现 诸如 
打印 机 、 音 乐 播放 器 等 这 样 的 服务 。 

DNS-SD 依 赖 于 对 SRV 资 源 记 录 的 查询 ， 后 者 可 以 识别 域内 提供 的 
服务 。 例 如 ， 在 传统 的 DNS 网 络 中 ， 某 一 个 域 SRV 记 录 可 能 存放 着 
FTP 服 务 器 或 活动 域 控制 器 的 主机 名 和 端口 号 。DNS-SD 将 该 新 性 能 
进行 了 扩展 ， 使 其 可 以 应 用 到 更 小 的 范围 ， 并 使 用 其 他 记录 类 型 来 完 
成 该 过 程 。 首 先 ，DNS PTR 指 针 记 录 的 一 个 变 体 (variation) (AF 
逆向 查询 ) 指向 网 络 中 运行 的 一 个 可 用 服务 实例 。 该 查询 可 能 会 返回 
如 下 信息 。 


> 实例 : 服务 的 一 个 特定 实例 〈 可 能 存在 同一 个 网 络 中 的 多 人 台 服 
务 器 提供 相同 服务 的 情况 ) 。 

> 服务 : 服务 的 名 称 (DNS-SD 服 务 类 型 的 主 注 册 表 保存 在 
http://www.dns-sd.org_E) o 

> 域 : 服务 所 在 的 域 。 

通过 组 合 对 这 个 查询 的 响应 信息 ，DNS-SD 客户 端 创建 了 一 个 网 
络 上 可 用 服务 和 服务 实例 的 浏览 列表 。 

当 用 户 或 客户 端 应 用 程序 在 这 个 浏览 列表 中 选择 一 个 特定 的 服务 
实例 ， 对 相关 SRV 记录 的 一 个 DNS 查询 将 返回 主机 名 和 端口 号 ， 以 
用 于 访问 网 络 中 的 服务 。DNS-SD 还 是 用 TXT 资源 记录 来 返回 服务 相 
关 的 其 他 信息 。 

DNS 服务 发 现 用 于 与 多 播 DNS 协同 工作 ， 以 提供 一 个 完整 的 零 
配置 DNS 环境 ， 但 是 DNS-SD 也 可 以 与 传统 的 DNS 服务 〈 仅 有 最 少 的 
初步 配置 ) 一 起 工作 。 

Microsoft 定义 了 另外 一 种 多 播 DNS 协议 ， 名 为 链 路 本 地 多 播 名 
称 解析 (Link-Local Multicast Name Resolution, LLNR) 。Microsoft 的 
简单 服务 发 现 协 议 (Simple Service Discovery Protocol, SSDP) 提供 了 
服务 发 现 功 能 。SSDP 基 于 HTTP 而 不 是 传统 的 DNS， 这 与 人 们 日 渐 重 
MET URL 的 服务 相 吻 合 ， 但 是 却 与 传统 的 DNS 基础 设施 形成 了 间 
断 。 提 供 了 与 DNS-SD 相 似 的 服务 浏览 基础 设施 的 通用 即 插 即 用 

(UPnP) 协议 系统 就 是 依赖 于 SSDP 的 。 

Microsoft、Apple 和 其 他 厂商 共同 参与 了 一 个 零 配置 TCP/IP 联 网 论 
坛 ， 但 是 很 多 用 户 使 用 的 系统 还 是 存在 细微 的 差别 。 最 大 的 不 同 点 是 
服务 发 现 协 议 。 

此 外 ， 还 有 另 一 种 的 服务 发 现 协议 一 一 Service Location Protocol 

(SLP) ， 被 广泛 应 用 于 HP 的 打印 机 和 其 他 许多 设备 上 。 


零 配 置 协 议 出 现在 多 个 RFC 中 ， 男 外 还 有 一 个 在 IPv6 中 建立 的 并 
行 系统 。 毫 无 疑问 ， 在 未 来 的 几 年 中 ， 零 配置 技术 会 引起 更 多 的 重 
视 。 

ER: 零 配 置 协议 

正 是 因为 主要 的 操作 系统 厂商 都 支持 特定 的 协议 ， 所 以 也 就 意味 
着 在 操作 系统 上 不 只 有 一 种 选择 。 应 用 程序 的 开发 者 可 以 自由 选择 他 
们 想 要 使 用 的 协议 。Apple 甚 至 开发 了 一 个 用 于 Windows 的 Bonjour 


Zeroconf 系 统 。 


12.8 TCP/IP 


本 章 已 经 讲 到 ， 当 代 的 大 多 数 计 算 机 几乎 不 需要 进行 网 络 配置 ， 
而 且 大 多 数 所 需要 的 步骤 都 是 在 安 妆 期 间或 者 是 某 些 类 型 的 “首次 局 
动 ”配置 向 导 中 完成 的 。 只 要 你 输入 了 计算 机 名 称 ， 并 指明 计算 机 使 用 
的 是 静态 地 址 还 是 动态 地 址 ， 其 余 的 事情 将 有 操作 系统 来 处 理 。 然 
而 ， 有 时 你 需要 检查 网 络 设计 ， 或 者 是 在 计算 机 运行 之 后 ， 需 要 更 改 
其 配置 选项 。 下 面 的 小 节 将 介绍 如 何在 Windows、Mac OS 和 Ubuntu 
Linux 系 统 上 找到 TCP/IP 配 置 设置 。 

有 关 如 何在 上 面 提 到 的 3 种 操作 系统 中 配置 网 络 连 接 以 及 排 错 的 内 
容 可 以 很 容易 就 填 满 一 本 书 ， 下 面 的 小 节 并 非 用 作 网 络 连 接 的 完全 配 
置 手册 和 排 错 指 南 ， 而 只 是 为 基本 的 配置 环境 提供 一 个 概要 ， 并 演示 
GUI 如 何 充当 管理 底层 网 络 协 议 设置 的 窗口 。 有 关 在 这 些 系统 上 进行 
网 络 配 置 的 具体 细节 ， 请 见 厂商 提供 的 文档 ， 或 是 查询 在 线 文档 。 


12.8.1 Windows 


Windows 的 网 络 设置 存储 在 windows 注 册 表 中 ， 如 果 你 不 确定 在 
做 什么 的 话 ， 最 好 不 要 随意 修改 注册 表 ， 否 则 将 会 带 来 危险 。 在 
Windows 中 配置 网 络 的 首选 方法 是 通过 GUI 工具 提供 的 Windows 用 
户 界 面 来 配置 。 在 Windows 的 众多 情况 下 ， 通 过 多 个 点 选 步 又 即 可 打 
开 各 种 对 话 框 。Windows 7 和 Windows Vista 都 是 通过 名 为 网 络 和 共享 
中 心 的 工具 来 管理 网 络 配 置 。 要 进入 网 络 和 共享 中 心 ， 单 击 Windows 
的 开始 按钮 ， 然 后 选择 控制 面板 。 在 控制 面板 的 主 视图 中 ， 选 择 网 络 
和 Internet， 然 后 单 击 网 络 和 共享 中 心 链接 。 

网 络 和 共享 中 心 在 窗口 的 顶部 显示 当前 的 网 络 连 接 ， 其 配置 选项 
位 于 左 侧 。Windows Vista 版 本 还 包含 当前 共享 和 发 现 设置 的 一 个 汇总 
( 见 图 12.6) 。 默 认 的 windows 7 配置 删除 了 共享 和 发 现汇 总 ， 以 提 

供 其 他 配置 选项 。 


图 12.6 Windows 网 络 和 共享 中 心 


Windows 将 每 一 个 预先 配置 的 连接 当做 一 个 单独 的 逻辑 实体 。 要 
查看 当前 的 配置 连接 ， 在 Vista 版 本 中 选择 管理 网 络 连 接 ， 或 者 在 
Windows 7 中 选择 更 改 适 配器 设置 。 无 论 哪 种 情况 ， 你 会 看 到 多 个 用 
于 与 本 地 网 络 、 无 线 网 络 等 相连 接 的 图 标 。 右 键 单 击 这 些 图 标 ， 然 后 
选择 属性 来 查看 连接 属性 对 话 框 〈 见 图 12.7) 。 

在 图 12.7 中 可 以 看 到 ， 连 接 属性 对 话 框 列 出 了 一 些 当 前 安装 在 网 
络 配 置 中 的 条 目 。 术 语 “ 条 目 (item) ”看 起 来 似乎 没有 必要 这 么 含 
糊 ， 但 是 本 书 读者 很 快 就 会 注意 到 ， 这 些 条 目 实 际 上 是 TCP/IP 网 络 栈 
的 可 选 组 件 。 位 于 顶部 的 条 目 (图 12.7 中 的 前 3 个 条 目 ) 是 网 络 客户 端 
和 对 应 于 TCP/IP 应 用 层 的 服务 组 件 。 

要 查看 当前 的 TCP/IP 配 置 (假定 你 的 计算 机 与 大 多 数 的 计算 机 相 
同 ， 都 是 使 用 的 IPv4) ， 选 择 名 为 Internet Protocol Version 4 


(TCP/IPv4) 的 组 件 ， 然 后 单 击 属性 按钮 。 
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图 12.7 连接 属性 对 话 框 


在 IPv4 属 性 对 话 框 中 ( 见 图 12.8) ， 你 可 以 进行 基本 选择 ， 比 如 
连接 是 否 应 该 接收 一 个 由 DCHP 自 动 分 配 的 IP 地 址 ， 还 是 配置 一 个 静 
人 态 的 TCP/IP 连 接 。 如 果 你 的 计算 机 被 设置 为 接收 动态 地 址 。 而 且 它 已 
经 在 工作 之 中 ， 则 只 需 保 持 该 设置 不 变 即 可 。 如 果 你 想 手 动 配置 网 
络 ， 单 击 Use the following IP address 单 选 框 ， 然 后 输入 地 址 、 子 网 掩 
码 和 默认 网 关 (该 地 址 信息 必须 与 你 的 网 络 一 致 。 有 关 IP 地 址 和 子 网 
掩 码 的 更 多 信息 ， 请 见 第 4 章 和 第 5 章 ) o 


Internet Protocol Version 4 (TCP/IPv4) Properties y (de) 


General 


You can get IP settings assigned automatically if your network supports 
this capabäty. Otherwise, you need to ask your network administrator 
for the appropriate IP settings 


Obtain an IP address automatically 


© Use the following IP address 


IP address 212 . 100 , 156. 18 
Subnet mask: 255 . 255 . 255. 0 
Default gateway: 212 . 100 . 156, 1 


© Use the folowing DNS server addresses: 
Preferred DNS server: 212 . 100 . 156.112 


Alternate DNS server: 


OK | Cancel 


12.8 在 Windows 中 配置 IPv4 属 性 


单 击 Advanced 按钮 (ME 12.8) 后 ， 会 弹出 其 他 对 话 框 ， 以 让 
用 户 手动 配置 DNS 和 WINS 名 称 服务 选项 〈 见 第 10 章 ) o 

将 网 络 连 接 视 为 独立 的 逻辑 实体 的 好 处 是 ， 你 可 以 针对 不 同 的 情 
况 设置 不 同 的 连接 。 如 果 你 的 计算 机 只 是 充当 一 台 普 通 的 DHCP 客户 
端 ， 也 就 不 要 这 么 麻烦 。 你 只 需要 将 它 接 入 到 网 络 中 ， 它 就 会 找到 一 
个 配置 。 如 果 你 有 一 台 便 携 式 计算 机 ， 需 要 在 具有 不 同 配置 的 两 个 不 
同 网 络 (比如 ， 一 个 使 用 DHCP， 另 外 一 个 使 用 静态 配置 ) 中 移动 ， 
你 就 需要 为 不 同 的 位 置 创建 不 同 的 连接 。 为 了 建立 一 个 新 的 连接 ， 或 
者 是 定义 一 个 新 的 网 络 ， 在 网 络 和 共享 中 心中 选择 建立 一 个 新 连接 或 
网 络 ， 将 打开 一 个 窗口 ， 让 用 户 选 择 启 动 一 个 向 导 ， 以 建立 LAN、 无 


线 、 拨 号 或 VPN 连 接 。 无 论 哪 一 种 情况 ， 计 算 机 都 会 寻找 未 定义 的 可 
用 网 络 连接 ， 以 便 选 择 可 用 的 网 络 或 设备 。 

在 前 面 的 章节 中 已 经 学 习 到 ， 从 网 络 访问 层 之 上 看 起 ， 无 线 网 络 
与 其 他 形式 的 TCP/IP 网 络 并 无 不 同 ， 但 是 ， 当 你 配置 和 访问 无 线 网 络 
时 ， 由 于 其 本 身 具有 的 特性 ， 因 此 与 其 他 网 络 相 比 会 有 一 些 不 同 。 

具有 无 线 硬件 的 Windows 系统 通常 会 自动 配置 无 线 网 络 。 但 是 ， 
取决 于 你 的 配置 ， 在 局 动 时 ， 你 的 系统 可 能 不 会 目 动 打 开 一 个 无 线 网 
络 连接 。 要 查看 可 用 的 无 线 网 络 ， 单 击 屏幕 右 下 角 的 无 线 图 标 (用 几 
条 柱状 条 形成 了 一 个 三 角形 状 ， 见 图 12.9) ， 将 会 出 现 一 个 可 用 的 网 
络 列表 。 从 中 选择 一 个 网 络 ， 然 后 单 击 连接 按钮 。 要 开始 这 个 连接 ， 
你 必须 提供 所 需要 的 安全 信息 ， 比 如 服务 集 识别 符 (SSID) o 
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图 12.9 在 Windows 中 选择 一 个 无 线 网 络 


在 Windows 7 中 ， 你 可 以 使 用 多 个 用 于 特定 无 线 网 络 的 配置 设置 
来 建立 一 个 网 络 配置 文件 。Wwindows 7 中 的 网 络 和 共享 中 心 提 供 了 一 
个 无 线 网 络 管理 选项 。 在 管理 无 线 网 络 窗口 中 ， 单 击 Add 按 钮 ， 定 义 
用 来 手动 连接 到 无 线 网 络 的 设置 ( 见 图 12.10) o 


E Start this connection automatically 
E) Connect even # the network is not broadcasting 
Warning: Y you select this option, your computer's privacy might be at risk. 


112.10 将 Windows 连接 到 无 线 网 络 


12.8.2 Mac OS 


SWindows—##, Mac OS 也 可 以 发 现 可 用 的 有 线 (或 无 线 ) 网 
络 ， 而 且 如 果 它 被 配置 为 使 用 DHCP 的 话 ， 就 可 以 连接 到 网 络 。 为 了 
进行 网 络 配置 ， 在 Apple 菜单 中 选择 System Preference， 然 后 选择 
Network 图 标 。 在 Mac OS#, Network Preferences 窗 口 (ME 12.11) 
是 配置 TCP/IP 的 地 方 。 在 左 侧 的 网 络 列表 中 ， 选 择 Ethernet， 以 访问 用 
于 传统 有 线 LAN 的 设置 ， 而 AirPort 则 是 用 于 无 线 网 络 的 连接 。 

在 以 太 网 配置 窗口 中 ， 下 拉 Configure 荣 单列 表 (来 选择 DHCP 或 
手动 配置 选项 ， 见 图 12.11) 。 如 果 选 择 的 是 手动 配置 ， 则 输入 地 址 、 
子 网 掩 码 、 路 由 器 地 址 (MX) ， 以 及 DNS 服务 器 。 单 击 Apply 按 钮 来 
保存 更 改 。 


Status: Connected 


Ethernet is currently active and has the IP 
address 192.168.1.7. 


a AirPort 


o pr 1%] Configure: | Using DHCP 
e FireWire IP Address: 192.168.1.7 

Subnet Mask: 255.255.255.0 

Router: 192.168.1.1 


DNS Server: 192.168.1.1 
Search Domains: 
oe _ s ( Advanced ) (?) 
f Gm 
LA Click the lock to prevent further changes. Assist me... ) ( Revert Apply 


图 12.11 在 Mac 0S 中 配置 TCP/IP 设 置 


在 AirPort 配 置 对 话 框 中 ( 见 图 12.12) ， 单 击 右 上 角 的 按钮 来 启用 
或 关闭 无 线 网 络 连 接 。 在 Network Name 下 拉 列 表 中 ， 选 择 想 要 连接 的 
可 用 网 络 。 你 也 可 以 选择 加 入 一 个 指定 的 网 络 ， 但 是 你 必须 提供 密 
码 、SSID， 以 及 前 天 安全 信息 。Create a Network 选 项 可 以 让 你 与 其 他 
无 线 计算 机 或 设备 一 起 建立 一 个 ad hoc 网 络 。 


Ethernet 
9 Connected J Status: Connected Turn AirPort Off 


AirPort Is connected to Barker and has the IP 
address 192.168.1.8. 


Network Name: | Barker + 


FA Ask to join new networks 


be asked before joining a new network. 


FEA en i Show AirPort status in menu bar (Advanced... ) (2) 


d = ` = 5 
if Click the lock to prevent further changes. ( Revert ) ( Apply ) 


图 12.12 ACS AirPort (Apple 为 无 线 网 络 连 接 所 起 的 一 个 爱 称 ) 


Mac OS 还 提供 了 一 个 便捷 的 易于 访问 的 工具 条 栏 图 标 ， 以 用 于 选 
择 无 线 网 络 或 启动 其 他 配置 选项 。 


12.8.3 Linux 


Ubuntu 是 一 款 基 于 Debian Linux 发 行 版 的 流行 Linux 版 本 。Ubuntu 
开发 人 员 最 近 将 桌面 系统 从 Gnome 桌 面 变 更 为 新 的 Unity 桌 面 ， 后 则 更 
改 了 一 些 配置 信息 ， 但 是 两 者 之 间 的 概念 相似 。 

与 Window 和 Mac OS 一 样 ，Ubuntu 在 工具 栏 中 有 一 个 很 小 的 图 
标 ， 用 来 快速 访问 网 络 信息 (WME 12.13) 。 单 击 图 标的 上 /下 箭头 可 
以 查看 可 用 的 网 络 选项 。 选 择 Edit Connections 进 入 Network 
Connections 窗 口 〈 见 图 12.14) 。 注 意 ， 有 多 个 选项 卡 可 以 让 你 查看 有 
线 、 无 线 、DSL 和 移动 宽带 连接 的 信息 。 为 了 添加 一 个 连接 ， 选 择 需 
要 添加 的 连接 类 型 ， 然 后 单 击 Add 按 钮 。 
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图 12.13 通过 Ubuntu 11.04 工 具 栏 来 添加 并 访问 连接 


Network Connections 


Wired 


Wireless Mobile Broadband VPN DSL 


Name Last Used Add 
Auto etho now 


` 


图 12.14 Ubuntu Network Connections O 


Edit Connection 对 话 框 提供 了 用 于 输入 MAC (物理 ) 地 址 以 及 
IPv4 和 IPv6 配 置 设置 的 选项 卡 。 在 IPv4 Settings 选 项 卡 中 〈 见 图 
12.15) ， 可 以 选择 DHCP 或 手动 配置 。 如 果 选 择 Manual， 则 需要 输入 
地 址 、 掩 码 和 网 管 信息 。 


OS® Editing Wired connection 1 

Connection name: Wired connection 1 

i Connect automatically 

Wired 802.1x Security | IPv4 Settings iPv6 Settings 
Method: | Manual 


Addresses 


Address Netmask Gateway Add 


DNS servers 


Search domains 


M Requ pa addressing for this connection to complete 


Routes 


Cancel 


图 12.15 Ubuntu Edit Conn ection 对 话 框 中 的 IPv4 Settings 选 项 卡 


如 果 单 击 Network Connections 窗 口中 的 Wireless 选 项 卡 ， 然 后 单 击 
Add 按 钮 后 ， 进 入 到 一 个 对 话 框 ， 可 以 在 其 中 输入 SSID 和 无 线 安全 设 
置 ， 以 及 IP 地 址 配置 信息 。 

Network Tools 应 用 程序 提供 了 快速 查看 当前 TCP/IP 配 置 的 功能 ， 
并 可 以 用 作 启 动 某 些 网 络 诊 断 工具 (第 14 章 将 讲 到 ) 的 接口 ， 比 如 
ping、traceroute 和 netstat。 要 使 用 Network Tools 应 用 程序 ， 先 单 击 左上 
角 的 Ubuntu 图 标 ， 然 后 选择 More Apps， 再 在 Display More Apps 的 
Installed 区 域 中 单 击 Linux， 然 后 找到 Network Tools 应 用 程序 ， 并 单 
击 。 


Network Toos O (ME 12.16) 显示 了 当前 的 IP 配 置 。 在 
Network device 的 下 拉 菜 单 中 选择 Ethernet Interface。IPv4 地 址 、IPv6 
地 址 、 网 络 掩 码 和 其 他 设置 将 出 现在 窗口 中 。 


- 


Devices - Network Tools 
e Port Scan Kut Finge 
work device ~i Ethernet interface (etho) = X Configure 


IP Information 


tocol IP Address Netmask / Prefix Broadcast Scope 


IPv6 fe80 19:d1fffe72 9632 04 
hiba 0.0.0.141 - 255.255.255. a 
interface information interface Statistics 

Hardware address: 00:19:d1:72:9b:32 Transmitted bytes 397.2 KiB 

Multicast Enabled Transmitted packets: 3082 

MTU 1500 Transmission errors: 0 

Link speed: not available Received bytes 3.5 MiB 

State Active Received packets 3795 
Reception errors 0 
Collisions 0 


图 12.16 在 Ubuntu Network Tools 窗 口 查看 当前 的 地 址 信息 


Linux 的 天 性 是 ， 如 果 你 使 用 的 是 不 同 的 Linux 版 本 (哪怕 是 
Ubuntu 的 早期 版 本 ) ， 则 配置 对 话 框 看 起 来 也 有 很 大 的 差别 。 然 而 ， 
所 有 这 些 对 话 框 实际 上 就 是 作为 GUI 界面 ， 来 访问 网 络 配置 文件 。 其 
中 一 个 很 重要 的 文件 是 /etc/network/interfaces 文 件 ， 它 存储 了 IP 地 址 信 
息 和 其 他 重要 的 设置 。 

在 /etc/network/interfaces 文 件 内 ，eth0 接 口 (第 一 个 以 太 网 卡 ) 的 

个 静态 地 址 配置 的 定义 如 下 所 示 : 

iface ethO inet static 

address 203.121.14.13 

netmask 255.255.255.0 

gateway 203.121.14.1 


针对 DHCP 而 配置 的 网 络 接口 ， 其 /etc/network/interfaces 条 目 如 下 
所 示 : 

auth eth0 

iface ethO inet dhcp 

/etc/network/inferfaces 文件 也 能 包含 用 于 定义 配置 的 其 他 设置 ， 具 
体 可 参见 Linux 文 档 。 

与 Windows 和 Mac OS 不 同 的 是 ， 命 令 行 在 Linux 中 得 到 了 很 到 的 应 
用 。 很 多 用 户 更 喜欢 使 用 命令 工具 (将 在 第 14 章 讲解 ) 来 配置 和 排 错 
网 络 设置 。 

由 于 在 开源 系统 中 工作 时 ， 存 在 很 复杂 情况 ， 同 时 为 了 及 时 获取 
硬件 驱动 程序 的 信息 ， 有 时 需要 对 于 无 线 网 络 进行 排 错 。 如 果 使 用 的 
Ubuntu ， 请 参见 Ubuntu AHHH E 

(https://help.ubuntu.com/community/WifiDocs/WirelessTroubleShooting 
Guide) 。 你 还 可 以 通过 Linux 无 线 项 目 (Linux Wireless Project) 来 获 
得 Linux 无 线 网 络 的 通用 信息 (http://linuxwireless.org/) o 


12.9 小 结 


本 章 首先 讨论 了 DHCP 协 议 ， 它 为 配置 IP 地 址 和 其 他 设置 提供 了 
一 种 比较 容易 的 方法 。DHCP 服 务 器 为 DHCP 客 户 端 提供 了 一 个 IP 地 址 
(有 时 还 会 提供 其 他 配置 信息 ) 。DCHP 现 在 相当 长 剑 ， 以 至 于 它 成 
为 大 多 数 TCP/IP 网 络 的 正常 操作 模式 。 当 配置 计算 机 ， 使 其 接收 动态 

IP 地 址 时 ， 可 以 将 其 配置 为 DHCP 客 户 端 。 
本 章 还 讲解 了 NAT 和 零 配 置 协议 ， 最 后 通过 几 个 例子 讲解 了 如 何 
在 典型 的 Windows、Mac OS 和 Linux 系 统 中 配置 TCP/IP。 


12.10 [15% 
Al: 在 DHCP 客 户 端 首次 启动 时 ， 是 如 何 与 DHCP 服 务 器 进行 通 


答 : 通过 广播 数据 包 和 接收 广播 数据 包 。 
rl: NAT 是 如 何 提高 安全 性 的 ? 
&: AA NAT 地 址 是 不 连续 的 和 不 可 路 由 的 ， 外 部 攻击 者 无 法 与 


本 地 网 络 通信 。 注 意 ， 这 个 重要 的 特性 并 不 能 保证 网 络 的 安全 性 。 攻 
击 者 还 可 以 通过 其 他 技术 对 NAT 网 络 进行 访问 。 


12.11 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


12.11.1 问题 

1. 为 了 让 某 个 网 络 上 的 DHCP 客户 端 租用 另外 一 个 网 络 上 
DHCP 服务 器 提供 的 IP 地 址 ， 需 要 做 些 什么 ? 

2. DNS-SD 主 要 依赖 于 哪个 DNS 记 录 ? 


12.11.2 练习 

如 果 你 的 计算 机 不 能 连接 到 网 络 ， 一 个 常见 的 解决 办 法 是 更 新 
DHCP 租 期 。 如 果 你 有 一 台 Mac， 而 且 系统 使 用 的 是 DHCP， 在 Apple 
下 拉 菜 单 中 选择 System Preferences。 在 System Preferences 窗 口中 ， 打 
开 Network 应 用 程序 。 如 果 你 使 用 的 是 基于 LAN 的 有 线 以 太 网 络 连 
接 ， 则 选择 Ethernet， 如 果 使 用 的 是 无 线 网 络 连 接 ， 则 选择 AirPort。 

当前 的 IP 地 址 将 显示 在 窗口 中 。 现 在 单 击 Advanced 选 项 卡 。 在 
Advanced Network 窗 口中 ， 确 保 顶 端的 TCP/IP 被 选中 ， 然 后 单 击 
Renew DHCP Lease 按 钮 。 你 的 计算 机 将 释放 它 的 IP 地 址 配置 ， 然 后 从 
DHCP 服 务 器 中 接收 一 个 新 的 地 址 (取决 于 你 的 DHCP 服 务 器 及 其 配置 
方式 ， 这 个 新 地 址 可 能 与 旧地 址 相同 ) o 

为 了 在 Windows 中 进行 该 练习 ， 你 需要 获得 管理 员 权 限 。 在 
Accessories 菜单 中 右键 单 击 命令 提示 符 图 标 ， 然 后 选择 Run as 
Administrator。 你 需要 输入 密码 ， 如 果 你 以 管理 员 身 份 登录 成 功 ， 则 
可 以 展开 行动 。 

打开 命令 行 窗口 ， 针 对 当前 的 IP 地 址 输入 下 面 的 命令 : 

ipconfig 

现在 输入 如 下 命令 ， 来 释放 IP 地 址 : 


ipconfig /release 


再 次 输入 下 述 命令 : 
ipconfig 


应 该 可 以 看 到 ，IPv4 地 址 已 经 不 存在 。 现 在 输入 如 下 命令 来 更 新 
地 址 。 

ipconfig/renew 

它 将 显示 你 的 地 址 已 经 恢复 。 

有 关 ipconfig 和 其 他 排 错 配置 以 及 命令 将 在 第 14 章 详细 介绍 。 


12.12 12 


ZI TI REN: 

> 自动 私有 IP 寻 址 (Automatic Private Addressing, 
APIPA) : Microsoft 一 些 系统 中 使 用 的 一 种 链 路 本 地 寻 址 技术 。 

> BOOTP: 主要 用 来 为 无 盘 客 户 端 分 配 地 址 的 一 种 协议 。 


> DHCP: 动态 主机 配置 协议 ， 用 于 提供 动态 了 地址 分 配 的 协 


议 。 
> DHCP 客 户 端 : 通过 DHCP 来 接收 动态 IP 地 址 的 计算 机 。 


> DHCP 服 务 器 : 通过 DHCP 将 TCP/IP 配 置 参 数 传 输 给 客户 端 计 


算 机 的 一 台 计 算 机 。 


> DNS-SD: DNS 服务 发 现 。 客 户 端 在 零 配置 网 络 上 获悉 服务 的 


一 种 方式 。 
> 链 路 本 地 寻 址 : 一 种 用 于 零 配置 了 了 地 址 分 配 的 技术 。 


> LLNR: 链 路 本 地 多 播 名 称 解析 。 由 Microsoft 开 发 的 另外 一 种 


零 配 置 名 称 解析 技术 。 


多 播 DNS: 不 需要 服务 器 或 预先 配置 的 主机 文件 的 一 种 DNS 名 


称 解 析 技术 。 


> SSDP: 简单 服务 发 现 协 议 。 由 Microsoft 发 起 的 一 种 服务 发 现 


技术 ， 它 使 用 的 是 HTTP 而 不 是 DNS。SSDP 一 种 与 通用 即 插 即 用 
(uPnP) 相关 联 的 服务 发 现 协议 。 
> Zeroconf: 一 个 协议 集合 ， 用 于 提供 零 配 置 TCP/ 了 PP 服务 。 


13% IPv6. 小 一 


本 章 介绍 如 下 内 容 : 

> IPv6 产 生 的 原因 ; 

> IPv6 报 头 格式 ; 

> 子 网 划分 ; 

多 播 ; 

> BEAM; 

> IPv6 隧 道 。 

因为 Internet 在 不 断 地 变化 ， 所 以 管理 Internet 的 通信 协议 也 必须 
不 断 地 变化 。Internet 协 (IP) 议定 义 了 最 重要 的 IP 地 址 系统 ， 但 是 最 
近 ， 专 家 们 一 直 都 在 试图 升级 这 个 协议 。 本 章 将 会 介绍 什么 是 下 一 代 
的 IP 系 统 。 

学 完 本 章 后 ， 你 可 以 : 

> 解释 应 用 新 IP 系 统 的 必要 性 ; 

> 描述 IPv6 报 头 中 的 字段; 

> 应 用 书写 和 简化 ITPv6 地 址 的 规则 ; 

> 将 现 有 的 IPv4 地 址 映射 到 IPv6 地 址 空间 5 

> 理解 IPv6 多 播 和 邻居 发 现 ，; 

> 描述 一 些 常见 的 IPv6 隧 道 选项 。 


13.1 Y IP 


第 4 章 讲 解 的 IP 寻 址 系统 已 经 在 Internet 中 应 用 了 很 长 时 间 ， 这 个 系 
统 的 开发 人 员 有 足够 的 理由 为 TCP/P 的 生命 力 感到 骄傲 。 但 是 现在 的 
Internetf 有 一 个 很 大 的 问题 : IP 地 址 即将 用 完 。 这 个 迫在眉睫 的 地 址 危 
机 看 上 去 很 令 人 吃惊 ， 因 为 当前 的 IP 格 式 中 带 有 32 位 的 地 址 字段 ， 可 
以 提供 30 亿 个 主机 ID。 不 过 ， 需 要 注意 的 是 ， 这 30 亿 个 地 址 中 ， 实 际 
上 有 很 多 是 未 被 使 用 的 。 

一 个 网 络 ID 通 常会 被 分 配给 一 个 组 织 ， 并 且 由 这 个 组 织 控制 主机 
ID 在 自己 网 络 上 的 分 配 。 第 4 章 讲 到 ， 根 据 了 P 地 址 字段 前 8 位 的 不 同 ， 
IP 地 址 通常 会 被 归 到 不 同 的 地 址 类 中 。 表 13.1 列 出 了 地 址 类 和 与 之 相 
关 的 地 址 范围 。 在 这 个 表 还 列 出 了 一 个 地 址 类 中 可 能 的 网 络 数量 ， 以 
及 每 个 网 络 中 可 能 的 主机 数量 。B 类 地 址 可 以 支持 65534 台 主机 。 不 
过 ， 由 于 许多 拥有 B 类 地 址 的 组 织 并 没有 65534 个 网 络 节点 ， 因 此 ， 他 
们 只 会 使 用 其 中 部 分 地 址 。127 个 A 类 网 络 可 以 支持 16777214 个 地 
址 ， 其 中 许多 也 没有 被 使 用 。 值 得 注意 的 是 ， 这 16510 个 A XM B 类 
网 络 已 经 全 部 被 占用 了 。 剩 下 的 C 类 网 络 则 只 支持 254 个 地 址 。 


213.1 不 同 IP 地 址 类 别 的 网 络 数量 和 不 同 网 络 的 地 址 数量 


每 个 网 络 可 用 地 址 数量 


幸运 的 是 ， 因 为 网 络 地址 转换 (NAT) 的 应 用 降低 了 对 Internet 地 
址 的 需求 ， 第 5 章 介绍 的 无 类 域 间 路 由 (CIDR) 地 址 系统 找 回 许多 未 
被 使 用 的 地 址 。 但 是 ， 由 于 最 近 几 年 的 发 展 ， 例 如 移动 网 络 的 不 断 增 
长 ， 又 给 地 址 空间 带 来 了 新 的 压力 。 

Internet 设 计 者 们 已 经 意识 到 ， 需 要 在 某 个 时 候 将 网 络 过 渡 到 一 个 
新 的 寻 址 系统 。 同 时 ， 因 为 这 个 系统 需要 应 对 各 种 挑战 ， 所 以 ， 必 须 
加 入 新 的 特性 和 新 的 技术 以 便 增强 IP 的 功能 。 这 个 新 系统 被 称 为 IPv6 

(有 了 时 也 叫做 应 用 于 下 一 代 IP 的 IPng) 。 当 前 IPv6 的 规范 是 1998 年 12 
月 制定 的 RFC 2460 (最 初 的 其 他 几 个 RFC 是 为 了 筹备 RFC 2460， 更 新 
的 RFC 主 要 是 在 讨论 IPv6 的 相关 问题 ) o 

IPv6 中 的 IP 地 址 是 一 个 128 位 的 地 址 。 这 么 大 的 地 址 空间 能 够 支持 
10 亿 个 网 络 。 本 章 后 面 将 讲 到 ， 这 么 大 的 地 址 还 为 满足 TPv4 地 址 和 
IPv6 地 址 的 兼容 性 提供 了 足够 的 空间 。 

下 面 列 出 了 IPv6 的 目标 。 

> 扩展 寻 址 的 能 力 : IPv6 不 仅仅 是 可 以 提供 更 多 的 地 址 ， 还 能 够 
提升 IP 寻 址 的 能 力 。 例 如 ，IPv6 支持 更 多 层次 的 寻 址 级 别 。IPv6 还 可 
以 提升 地 址 的 自动 配置 能 力 ， 并 且 提 供 更 好 的 任 播 寻 址 支持 ， 使 得 入 
站 的 数据 包 可 以 到 达 “ 最 近 ” 或 “最 佳 * 的 目的 地 。 

> 更 简单 的 报头 格式 : 有 些 IPv4 报 头 字段 被 移 除 。 其 他 的 字段 则 
是 可 选 的 。 

> 提升 了 对 扩展 和 选项 的 支持 : IPv6 可 以 在 可 选 的 扩展 报头 中 加 
入 一 些 报头 信息 。 这 种 方法 能 够 在 不 浪费 主 报头 空间 的 情况 下 增加 信 


息 字 段 的 范围 。 在 大 多 数 情况 下 ， 路 由 器 并 不 处 理 扩展 报头 ; 使 得 数 
据 报 的 传递 过 程 更 加 流畅。 
> 流标 签 : 可 以 用 特定 的 流 级 别 标记 IPv6 数 据 报 。 流 级 别 就 是 一 

需要 特别 处 理 的 数据 报 。 例 如 ， 应 用 于 实时 服务 的 流 级 别 与 邮件 信 
和 的 流 级 别 有 所 不 RA], 设置 流 级 别 对 确保 传递 的 最 低 服务 质量 是 很 有 
用 的 。 

> 提升 身份 认证 和 隐私 保护 的 能 力 : IPv6 扩 展 可 以 支持 身份 认 
证 、 机 密 性 和 数据 完整 性 技术 。 

在 编写 本 书 之 时 ，IPv6 已 经 存在 了 10 多 年 ， 实 际 上 现在 几乎 没 
有 网 络 完全 实现 了 这 个 系统 。 部 分 原因 是 变更 为 下 一 代 系 统 式 ， 需 要 
在 同时 运行 的 IPv4 和 IPV6 之 间 提 供 转 换 ， 只 要 还 可 以 使 用 IPv4， 管 理 
员 就 没有 理由 停止 IPv4 的 运行 。 到 目前 为 止 ， 所 有 的 主流 操作 系统 和 
大 多 数 路 由 器 都 提供 了 对 IPv6 的 支持 。 但 是 ， 绝 大 多 数组 织 都 没有 额 
外 的 费用 同时 支持 两 种 系统 的 运行 ( 量 然 Dpv6 协 议 栈 的 运行 可 和 EXE EA 
UN) o 

即使 一 个 组 织 希 望 在 本 地 级 别 实现 一 个 天 然 的 IPv6 网 络 ， 也 很 难 
找到 对 天 然 IPv6 提 供 支 持 的 Internet 服 务 提供 商 (ISP) o Internet IPv6 
服务 通常 是 通过 IPv6 隧 道 代理 提供 的 。 本 章 后 面 会 讲 到 ， 隧 道 代理 将 
IPV6 数 据 包 放 入 IPv4 隧 道中 。 这 种 方法 确实 可 以 在 终端 提供 IPv6 的 连 

通 性 ， 但 是 通过 IPv4 隧 道 支持 IPv6 则 减少 了 IPv6 提 供 的 高 级 路 由 功能 

和 服务 质量 特性 。 


13.2 ITPv6 报 头 格式 


IPv6 的 报头 格式 如 图 13.1 所 示 。 请 注意 ， 基 本 的 IPv6 报 头 实 际 上 比 
相应 的 IPv4 报 头 更 简单 。 报 头 被 简化 的 部 分 原因 是 在 IPv6 中 ， 其 他 的 
细节 信息 被 放 在 了 主 报头 之 后 的 扩展 报头 中 。 


载荷 长 度 +e 跳 数 限制 


目的 地 址 


图 13.1 IPv6 报 头 


IPv6 报 头 的 字段 如 下 所 示 。 

> 版 本 (4 位 ) : 识别 IP 版 本 号 (在 这 里 应 该 是 版 本 6) o 

> 流量 类 别 (8 位 ) : 识别 数据 报 中 封装 的 数据 类 型 。 

> 流标 签 (2011) : 指派 流 级 别 。 

> RAKE (16 位 ) : 确定 数据 (报头 之 后 的 数据 报 部 分 ) 的 长 
Eo 

> 下 一 个 报头 (8 位 ) : 定义 紧 跟 在 当前 报头 之 后 的 报头 的 类 
型 。 本 节 稍 后 会 讲解 扩展 报头 。 

> 跳 数 限制 (8 位 ) : 指示 该 数据 报 还 有 多 少 剩 余 的 跳 数 。 每 经 
过 一 个 节点 ， 这 个 值 就 减 1。 如 果 跳 数 限制 到 达 0， 数 据 报 将 被 丢弃 。 

> 源 地 址 〈128 位 ) : 识别 发 送 数 据 报 的 计算 机 的 IP 地 址 。 

> 目的 地 址 〈128 位 ) : 识别 接收 数据 报 的 计算 机 的 IP 地 址 。 

本 章 前 面 已 经 介绍 过 ，IPv6 会 将 可 选 的 信息 添加 在 主 报头 和 数据 
之 间 的 扩展 报头 内 。 这 些 扩展 报头 提供 的 信息 可 以 应 用 于 特定 的 环 
境 ， 同 时 又 保证 了 主 报头 能 够 尽量 小 ， 以 及 容易 管理 。 


IPv6 规 范 中 定义 了 如 下 的 扩展 报头 。 
> 逐 跳 选项 ; 
> 目的 选项 ; 
> 路 由 ; 
> 分 段 ; 
> 身份 认证 ; 
> ARAIRE., 
每 一 个 报头 类 型 都 与 一 个 8 位 的 识别 符 相 关联 。 通 过 在 主 报头 和 扩 
展 报头 中 的 下 一 个 报头 字段 定义 了 报头 链 中 的 下 一 个 报头 的 识别 符 
( 见 图 13.2) 。 


下 一 个 报头 下 一 个 报头 下 一 个 报头 下 一 个 报头 
逐 跳 选项 路 由 分 段 TCP 报头 和 数据 


图 13.2 下 一 个 报头 字段 


在 上 面 描述 的 扩展 报头 中 ， 只 有 跳跃 选项 报头 和 路 由 报头 需要 在 
传输 路 径 中 被 中 间 节 点 处 理 。 路 由 器 不 处 理 其 他 的 扩展 报头 ， 只 放行 
即 可 。 

下 面 的 小 节 将 要 详细 讨论 这 些 扩展 报头 类 型 。 


13.2.1 ZBK) 3 


逐 跳 选项 报头 的 作用 是 将 传输 路 径 上 路 由 器 的 可 选 信息 关联 起 
来 。 

逐 跳 选 项 报头 与 目的 选项 报头 很 相似 ， 规 学 中 包括 这 个 报头 的 作 
用 是 为 未 来 开发 出 的 选项 提供 一 种 格式 和 机 制 。 

规范 包括 了 一 个 可 选 的 分 配 类 型 以 及 一 些 用 于 对 其 数据 的 填充 选 
项 。 规 范 中 明确 定义 的 一 个 选项 是 巨型 载荷 (jumbo payload) 选项 ， 
可 用 于 传递 载荷 大 于 65535 字 节 的 数据 。 


13.2.2 i 3 


目的 选项 报头 的 目的 是 将 可 选 的 信息 与 目的 节点 关联 起 来 。 与 逐 
跳 选 项 报关 类似， 目的 选项 报头 主要 是 作为 开发 未 来 选项 的 框 染 。 


13.2.3 3 


路 由 报头 用 来 指定 数据 报 在 传递 路 径 上 的 一 个 或 多 个 路 由 器 。 
路 由 报头 的 格式 如 图 13.3 所 示 。 


下 一 个 报头 路 由 剩余 
报头 长 度 类 型 分 段 


特定 类 型 的 数据 


图 13.3 路 由 报头 


路 由 报头 的 数据 字段 如 下 所 示 。 

> 下 一 个 报头 : 识别 紧 跟 在 该 报头 之 后 的 下 一 个 报头 的 报头 类 
型 。 

> 报头 长 度 (8 位 ) : 定义 报头 的 长 度 ， 单 位 是 字 节 ， 但 其 中 不 
包括 下 一 个 报头 字段 。 

> 路 由 类 型 (8 位 ) : 识别 路 由 报头 的 类 型 。 不 同 的 路 由 报头 类 
型 应 用 于 不 同 的 特定 场景 。 

> 剩余 分 段 : 指示 到 达 目 的 之 前 ， 被 显 式 定义 的 路 由 段 的 数量 。 

> 特定 类 型 的 数据 : 表示 路 由 类 型 字段 中 定义 的 特定 路 由 类 型 的 
数据 字段 。 


~] 


13.2.4 


消息 路 径 上 的 每 一 个 路 由 器 都 有 一 个 最 大 传输 单元 (Maximum 
Transmission Unit, MTU) 的 设置 。MTU 设 置 表示 路 由 器 可 以 传输 的 
最 大 数据 单元 。 在 IPv6 中 ， 源 和 点 可 以 友 现 路 径 MTU， 即 传输 路 径 上 
所 有 设备 的 最 小 MTU 设 置 。 路 径 MTU 表 示 的 是 可 以 在 路 径 上 传递 的 最 
大 数据 单元 。 如 果 数 据 报 的 尺寸 大 于 路 径 MTU， 数 据 报 必 须 被 分 成 更 
小 的 部 分 ， 这 样 才能 将 数据 报 跨越 网 络 传递 。 分 段 报 头 包含 的 是 充足 
分 段 数据 包 所 需 的 信息 。 


13.2.5 认证 报 3 


身份 认证 报头 用 于 提供 安全 性 和 身份 认证 信息 。 身 份 认证 字段 提 
供 了 一 种 可 以 决定 数据 报 是 否 在 传递 过 程 中 已 被 更 改 的 方法 。 


ERHMTZEHEE (Encrypted Security Payload, ESP) 报头 提供 
了 保密 性 和 机 密 性 。 通 过 使 用 IPv6 的 ESP 功 能 ， 部 分 或 所 有 被 传递 的 
数据 都 能 够 被 加 密 。 使 用 隧道 模式 的 ESP 时 (用 于 VPN 隧 道 ) , ET 
IP 数 据 报 都 会 被 加 密 并 放置 在 一 个 未 加 密 的 外 部 数据 报 中 。 在 传输 模 
式 中 ， 只 有 载荷 和 ESP 报 头 信息 都 是 被 加 密 的 。 


13.3 IPv6 HE 


与 IPv4 地 址 类 似 ，IPv6 地 址 是 由 Internet 授 权 中 心 分 配 的 ， 并 且 通 
过 ISP 和 其 他 带宽 提供 商 的 系统 分 发 。 如 表 13.2 所 示 ， 有 些 特 定 的 地 址 
范围 被 保留 ， 以 用 作 特 殊 的 活动 ， 例 如 多 播 和 链接 本 地 寻 址 (与 第 12 
章 中 介绍 的 IPv4 零 配置 系统 相似 ) 。 还 有 一 部 分 地 址 范围 被 用 做 IPv4 
地 址 到 IPv6 地 址 空间 的 映射 。 


7213.2 RFC 4291 中 的 IPv6 地 址 汇 围 


地 址 类 型 二 进 制 前 组 IPv6 表示 法 描述 

未 指定 0...00 (450) ::/128 未 被 分 配 ， 表 示 缺 少 地 址 

环 回 | 0...01 (12740) ::1/128 诊断 地 址 ， 用 于 向 本 机 发 送 数据 包 
暴 射 后 的 IPv4 0...0:FFFF (80 个 0) :FFFF/96 与 现 有 IPv4 地 址 对 应 的 IPv6 地 址 
多 播 11111111 FF00::/8 表示 一 组 主机 

链 路 本 地 单 播 1111111010 FE80::/10 | 用 于 自动 地 址 配置 

全 局 单 播 所 有 其 他 的 前 绥 


要 想 记 住 128 位 的 IPv6 地 址 是 几乎 不 可 能 的 。 在 第 4 章 讲 到 ，32 位 
的 IPv4 地 址 通常 可 以 用 点 分 十 进 制 形式 来 表示 ， 即 每 个 字 节 的 数据 可 
以 用 最 多 3 位 十 进 制 数 来 表示 。 记 住 用 12 个 十 进 制 数 表示 的 字符 串 比 记 
住 用 32 个 二 进 制 数 表 示 的 二 进 制 地 址 要 容易 一 些 。 不 过 ， 这 种 应 用 于 
32 位 地 址 的 方法 对 记忆 128 位 的 地 址 是 没有 效果 的 。 实 际 上 ， 也 很 少 有 
用 来 简化 IPv6 地 址 记忆 的 方法 。 

IPv6 地 址 通常 是 由 用 冒号 隔 开 8 个 4 位 十 六 进 制 数组 成 的 〈 显 示 时 
每 一 组 数据 都 会 省 略 掉 前 面 的 0 字符 ) : 

2001:DB8:0:0:8:800:200C:417A 

此 外 ， 还 可 以 通过 用 双 冒 号 来 替代 多 个 连续 0 的 方法 简化 地 址 的 写 
法 。 对 于 上 面 的 地 址 ， 可 以 按照 如 下 方法 简写 : 

2001:DB8::8:800:200C:417A 

每 一 个 地 址 只 人 允许 使 用 一 个 双 冒 号 。IPv6 地 址 的 分 配 规则 常常 会 
导致 地 址 中 有 很 长 一 串 的 0。 此 时 ， 双 冒号 将 十 分 有 用 。 例 如 ， 下 面 的 
地 址 : 

FF01:0:0:0:0:0:0:101 

可 以 简写 为 : 

FF01::101 

与 IPv4 地 址 相似 ，IPv6 地 址 的 开始 是 表示 网 络 的 前 缀 。 与 CIDR 系 
统 相同 ， 用 户 可 以 通过 指定 地 址 组 中 的 第 一 个 地 址 并 加 上 表示 网 络 位 


数目 的 十 进 制 数 来 表示 一 个 地 址 组 。 根 据 RFC4291“IPv6 Addressing 
Architecture”， 要 想 表 达 带 有 60 位 网 络 前 缀 20010DB80000CD3 的 一 组 
地 址 ， 可 以 按 如 下 方法 编写 : 

2001:0DB8:0000:CD30:0000:0000:0000:0000/60 

或 与 为 

2001:0DB8:0:CD30::/60 

IPV6 网 络 配 置 软件 允许 用 户 定义 一 个 默认 的 网 络 前 级 ， 以 便 在 客 
户 端的 手动 配置 只 需要 参考 地 址 的 主机 部 分 。IPv6 也 提供 了 复杂 的 自 
动 配置 特性 ， 可 以 避免 用 户 输入 见长 的 地 址 。 

虽然 还 不 知道 网 络 管理 员 将 如 何 适 应 这 么 长 的 IPv6 地 址 ， 但 是 任 
何人 都 可 以 猜测 到 ， 名 称 解析 一 定 会 在 IPv6 网 络 中 扮演 很 重要 的 角 
Bo 


13.4 子 网 划分 


第 5 章 讲 到 ，IPv4 地 址 的 某 些 位 可 以 用 来 表示 网 络 或 子 网 ， 有 些 位 
则 表示 主机 ID。 在 最 近 几 年 ， 旧 有 的 地 址 分 类 系统 已 经 被 CIDR 取 代 。 
在 CIDR 表 示 法 中 ， 地 址 后 面 的 斜 线 后 根 由 一 个 数字 ， 用 来 表示 32 位 地 
址 中 ， 与 网 络 和 子 网 相关 联 的 位 数 : 

205.123.196.183/25 

在 上 一 节 讲 到 ，IPv6 也 使 用 这 种 CIDR 风 格 的 表示 法 ， 来 标记 与 地 
址 的 网 络 部 分 相关 联 的 位 数 。IPv6 更 大 的 地 址 空间 和 高 级 的 技术 ， 使 
得 我 们 需要 一 种 全 新 的 子 网 划分 技术 。128 位 的 IPv6 地 址 为 地 址 的 网 络 
和 主机 部 分 留 下 了 很 大 的 空间 。 在 IPv6 中 ， 假 定子 网 划分 发 生 在 地 址 
的 第 1 个 64 人 位， 这样 剩 余 的 64 位 (或 更 多 ) 可 以 用 于 子 网 中 的 主机 
ID。 这 样 ， 这 个 几 十 亿 数 量 级 的 主机 对 任何 网 络 而 言 都 足够 了 ， 这 也 
意味 着 对 地 址 空间 进行 细 分 ， 以 充分 利用 地 址 空间 的 概念 成 为 过 去 
时 ， 在 同一 个 子 网 中 ， 可 以 共存 几 千 个 网 络 节点 。 

然而 ， 出 于 性 能 和 流量 管理 的 原因 ， 管 理 员 仍 然 希 望 使 用 路 由 器 
来 分 着 大 型 网 络 ， 并 使 用 子 网 划分 技术 将 数据 包 发 送 到 不 同 的 网 段 。 
此 时 ， 地 址 空间 的 前 64 位 可 以 为 地 址 中 的 网 络 和 子 网 部 分 提供 大 量 的 
空间 。 例 如 ， 如 果 一 个 网 络 被 分 派 了 一 个 /48 的 地 址 范围 ， 它 将 有 16 
位 用 于 子 网 划分 ， 剩 余 的 64 位 可 以 用 于 主机 ID。 


13.5 多 播 


IPv4 是 围绕 着 网 络 广播 的 理念 设计 的 。 发 送 到 广播 地 址 (比如 
255.255.255.255， 也 即 全 1) 的 消息 将 会 被 子 网 中 的 所 有 主机 读 取 。 这 
个 概念 相当 不 错 ， 但 是 自从 设计 出 IPv4 以 来 ， 更 为 有 效 的 解决 方案 也 
开发 了 出 来 。 一 个 名 为 多 播 的 新 方法 在 发 送 给 个 体 (BH) 和 发 送 给 
全 体 (广播 ) 之 间 提 供 了 一 个 中 间 选 项 。 尽 管 多 播 是 在 IPv4 的 时 代 引 
入 的 ， 但 是 在 IPv6 中 ， 它 引起 了 更 多 的 兴趣 和 大 量 的 关注 。 事 实 上 ， 
多 播 是 内 置 在 IPv6 中 的 。 在 多 播 中 ， 主 机 参与 到 共享 同一 个 多 播 地 址 
的 多 播 组 中 。 不 是 该 组 成 员 的 主机 不 能 读 取消 息 ， 这 就 使 得 多 播 的 效 
率 高 于 广播 。 

IPv6 中 定义 了 几 种 不 同类 型 的 IPv6 多 播 地 址 。 例 如 ， 链 路 本 地 多 
播 的 多 播 地 址 前 缀 是 ff02::/16。 

多 播 在 IPv6 网 络 中 具有 很 重要 的 作用 。 应 用 开发 人 员 也 使 用 多 播 
技术 ， 将 数据 更 为 高 效 地 传递 给 IPv6 网 络 上 的 多 播 主 机 。 


13.6 3 


前 绎 为 fe80::/10 的 IPv6 地 址 是 链 路 本 地 地 址 。 链 路 本 地 地 址 不 会 穿 
越 路 由 器 ， 仅 用 于 本 地 网 段 的 通信 。 这 使 得 链 路 本 地 地 址 与 IPv4 网 络 
中 使 用 的 私有 地 址 范围 具有 异曲同工 之 妙 (有 关 IPv4 私 有 地 址 范围 的 
更 多 信息 ， 请 见 第 4 章 ) 。 

本 章 后 面 将 讲 到 ， 这 些 链 路 本 地 地 址 在 IPv6 的 自动 配置 系统 中 具 
有 重要 的 作用 。 链 路 本 地 地 址 允许 计算 机 在 不 需要 进行 手动 配置 (也 
不 需要 DHCP 服 务 器 的 自动 配置 ) 的 情况 下 ， 就 能 在 本 地 网 段 进行 通 
信 。 当 然 ， 由 于 这 些 链 路 本 地 地 址 是 不 可 路 由 的 ， 因 此 无 法 为 更 大 网 
络 (在 本 地 网 络 之 上 ) 提供 连通 性 。 为 了 与 世界 其 他 地 方 进 行 连接 ， 
主机 需要 一 个 可 路 由 的 IP 地 址 ， 或 者 是 通过 访问 一 个 现成 的 IPv6 
DHCP 设 备 来 接收 一 个 动态 地 址 。 


13.7 现 


在 第 4 章 讲 到 ，ARP 提供 了 将 IPv4 地 址 映射 为 与 网 卡 相 关联 的 
物理 地 址 的 方法 。ARP 在 网 际 层 的 逻辑 寻 址 和 网 络 访问 层 基 于 硬件 的 
地 址 之 间 提 供 了 链 路 。 在 IPv6 网 络 中 ，IP 地 址 到 物理 地 址 的 映射 是 通 
过 称 为 邻居 发 现 的 过 程 实现 的 。 

Internet 控 制 消 息 协 议 版 本 6 (ICMPv6) 提供 了 邻居 发 现 服务 。 本 
地 网 络 中 需要 解析 IPv6 地 址 的 主机 首先 计算 与 该 地 址 相关 联 的 一 个 请 
求 节点 多 播 地 址 (请 求 节点 多 播 地 址 的 格式 在 IPv6 文 档 中 有 定义 , 它 
包含 一 个 多 播 范 围 中 的 前 级 ， 以 及 与 IPv6 单 播 地 址 相对 应 的 主机 
位 ) 。 主 机 随后 将 邻居 请 求 数据 包 发 动 到 请 求 多 播 地 址 (该 地 址 包含 
发 送 者 希望 解析 的 IPv6 地 址 ) ， 要 求 地 址 的 拥有 者 进行 响应 。 发 送 者 
还 将 其 物理 地 址 作为 响应 的 目的 地 址 发 送 给 IPv6 地 址 的 所 有 者 。IPv6 
地 址 的 所 有 者 使 用 一 个 邻居 通告 数据 包 进 行 响应 ， 该 数据 包 中 包含 它 
自己 的 物理 地 址 和 链 路 本 地 地 址 。 

通过 该 过 程 ， 网 络 中 的 主机 建立 了 邻居 缓存 ， 该 缓存 类 似 于 IPv4 
网 络 中 使 用 的 ARP 表 。 


13.8 自动 配置 


169.254.0.0/16 地 址 范围 中 的 自动 配置 地 址 近年 来 在 IPv4 网 络 中 出 
现 《有 关 IPv4 自 动 配置 的 详情 ， 请 见 第 12 章 ) 。 自 动 配置 技术 用 于 在 
计算 机 无 法 找到 DHCP 无 服务 器 并 且 也 没有 手动 配置 地 址 的 情况 时 ， 
为 其 指派 一 个 了 地 址 。 这 个 不 可 路 由 的 “ 零 配 置 ? 地 址 足以 让 计算 机 连 
接 到 打印 机 或 本 地 网 络 中 的 其 他 对 等 体 ， 也 可 以 让 计算 机 通过 DNS 服 
务 发 现 找 到 本 地 服务 。 

IPV6 无 状态 自动 配置 特性 以 一 种 更 简单 的 方式 提供 了 相 类 似 的 功 
能 。IPV6 自 动 配置 基于 物理 地 址 的 一 个 哈 希 为 计算 机 指派 一 个 链 路 本 
地 地 址 。 由 于 物理 地 址 都 是 独一无二 的 ， 因 此 链 路 本 地 地 址 很 大 情况 
下 也 是 唯一 的 ， 这 也 就 避免 了 IPv4 零 配 置 网 络 中 出 现 的 地 址 冲突 问 
题 。 通 过 使 用 一 个 标准 的 转换 将 48 位 的 物理 地 址 转换 为 一 个 64 位 的 字 
符 串 ， 然 后 再 将 其 附加 到 fe80::/10 链 路 本 地 前 缀 的 后 面 (在 必要 时 使 
用 二 进 制 0 进行 填充 ) ， 从 而 形成 一 个 完整 的 链 路 本 地 地 址 。 

通过 名 为 重复 地 址 检测 (Duplicate Address Detection, DAD) 的 
另外 一 个 过 程 ， 主 机 将 检测 该 地 址 是 已 经 在 本 地 网 段 使 用 了 ， 如 果 没 
有 的 话 ， 主 机 将 采用 这 个 自动 配置 的 地 址 。 


13.9 IPv6 和 服务 质量 


IPv6 提出 了 另外 一 个 挑战 : 提供 统一 的 服务 质量 级 别 。 该 挑战 最 
近 在 日 渐 老 化 的 IPv4 基 础 设施 中 得 以 显现 。 

以 前 ，Internet 主 要 应 用 与 电子 邮件 和 FTP 类 型 的 下 载 ， 没 有 人 考 
虑 数据 传递 的 优先 级 。 如 果 电 子 邮件 无 法 在 两 秒 钟 内 到 达 ， 那 么 它 会 
在 两 分 钟 或 者 一 小 时 后 到 达 。 没 有 人 在 意 是 否 指定 或 限制 消息 到 达 的 
时 间 间 隔 。 与 之 相反 ， 今 天 的 Internet 可 以 支持 很 多 种 不 同类 型 的 传 
递 ， 其 中 有 一 些 具 有 严格 的 传递 要 求 。 如 果 因 为 数据 包 被 停留 在 路 由 
器 的 缓存 中 而 导致 了 很 长 的 延 时 ， 那 么 Internet 视 频 、 电视 以 及 其 他 实 
时 应 用 程序 将 无 法 正常 工作 。 对 于 Internet 电 话 ， 即 使 是 很 小 的 延 时 ， 
也 会 给 打 电 话 的 人 造成 很 大 的 困扰。 

在 未 来 的 Internet 中 ， 会 根据 数据 需要 等 待 的 时 间 为 卫 数 据 报 划 分 
优先 级 。 来 自 交 互 式 视 频 程序 的 数据 报 会 被 放置 在 路 由 器 缓存 队列 中 
的 最 顶端 ， 从 而 造成 电子 邮件 数据 报 短 暂 的 延 时 。 

IPv6 可 以 通过 区 分 服务 级 别 来 进行 优先 级 划分 。IPv6 报 头 中 的 流 
量 类 别 字 段 和 流标 签字 段 能 够 指定 数据 报 中 数据 的 类 型 和 优先 级 〈 见 
图 13.1) 。 

注意 : 区 分 服务 

一 些 广 商 和 工程 师 已 经 党 试 了 使 用 IPv4 的 服务 类 型 字段 来 区 分 服 
务 信息 。IPv6 流 量 类 型 字段 旨 在 使 用 区 分 服务 来 支持 不 断 持 续 的 实 


验 。 


13.10 IPv6AH IPv4 


当然 ，IPv6 采 用 的 是 逐渐 进行 的 方式 。 目 前 Internet 仍然 没有 被 完 
全 更 新 ， 因 此 ， 工 程 师 对 IPv6 进 行 了 设计 ， 使 得 在 IPv4 向 IPv6 的 长 期 
WE, MERIH. 

一 种 方法 是 通过 多 协议 配置 ， 使 得 IPv6 协 议 栈 能 够 与 IPv4 协 议 栈 
同时 运行 ， 就 像 IPv4 曾 经 与 IPX/SPX、NetBEUI 以 及 其 他 协议 栈 同 时 共 
存 那样 。 

IPv6 寻 址 系统 提供 了 将 现 有 的 IPv4 地 址 包括 在 自己 的 地 址 空间 中 
的 方法 。 最 初 的 计划 是 将 每 一 个 有 效 的 IPv4 地 址 映射 成 一 个 128 位 的 
IPv6 地 址 (通过 在 原 地 址 前 添加 96 个 0 位 ) 。 这 种 形式 被 称 为 与 IPv4 兼 
容 的 IPv6 地 址 。 不 过 ， 在 RFC 4291 中 对 这 种 形式 提出 了 强烈 的 反对 ， 
RFC 4291 更 倾向 于 另 一 种 技术 一 一 映射 IPv4 的 IPv6 地 址 ， 这 种 地 址 包 
& 80 个 0 位 和 16 个 1 位 (十 六 进 制 FFFF) ， 后 面 再 加 上 原来 的 32 位 的 
IPv4 地 址 。 

例如 ， 对 于 IPv4 地 址 : 

169.219.13.133 

可 以 映射 成 ITPv6 地 址 

0000:0000:0000:0000:0000:FFFF:A9DB:0D85 

或 简写 的 : 

:¡FFFF:A9DB:0D85 

因为 这 个 前 缀 清楚 地 表明 了 这 个 地 址 是 被 映射 的 IPv4 地 址 ， 所 以 
IPv4 部 分 有 时 候 可 以 写成 点 分 十 进 制 形式 : 

::FFFF:169.219.13.133 


13.11 IPv6 隧 道 


多 年 以 来 ， 专 家 们 一 直 在 讨论 IPv4 向 IPv6 过 渡 的 计划 ， 但 是 至 今 
仍然 没有 实现 完整 的 IPv6 Internet。 但 是 ， 在 过 去 的 几 年 ， 这 一 过 渡 步 
伐 已 经 加 速 。 在 2011 年 春天 ， 随 着 最 后 一 个 IPv4 地 址 块 被 分 配 出 去 ， 
地 址 耗 尽 问题 终于 引起 了 人 们 的 关注 ， 而 且 IETF 也 正在 采取 措施 以 保 
证 ISP 和 管理 员 能 够 调整 其 需求 ， 以 实现 IPv6 功 能 。 

所 有 人 都 知道 ， 没 有 人 可 以 扔 掉 交 换 机 ， 并 神奇 对 将 整个 Internet 
从 IPv4 网 络 切 换 到 IPv6 网 络 。 在 过 去 的 几 年 中 ， 为 了 实现 ITPv4 向 IPv6 
的 逐步 过 渡 ， 人 们 已 经 发 明了 大 量 的 技术 。 这 些 技术 的 理念 是 ， 网 络 
和 Internet 提 供 商 在 缓慢 地 实现 和 测试 IPv6 基 础 设置 的 各 种 组 件 时 ， 仍 
然 保持 IPv4 的 连接 性 。 

根据 IETF 在 20007 年 发 布 的 迁移 计划 ，IPv4 向 IPv6 的 过 渡 应 该 在 
2010 年 和 2011 年 之 间 发 生 ， 从 2012 年 以 后 ， 对 IPv6 的 支持 必须 是 强制 
性 的 。 在 本 书 编写 之 时 ， 这 一 雄心 勃勃 的 计划 似乎 在 执行 时 略 有 欠 
缺 ， 但 是 大 方向 是 正确 的 ， 它 仍然 一 直 在 向 IPv6 迁 移 。 

大 多 数 计算 机 系统 提供 了 一 些 与 IPv6 兼 容 的 形式 。 一 个 典型 的 场 
景 是 计算 机 可 以 在 双 栈 配置 中 同时 支持 IPv4 和 IPv6。 一 个 采用 双 栈 配 
置 的 计算 机 使 用 必要 的 连 网 软件 通过 IPv4 或 IPv6 进 行 通 信 。 

当然 ， 只 有 在 全 面 实现 了 IPv6 之 后 ， 才 能 通过 IPv6 来 无 缝 访问 整 
个 mternet， 但 是 目前 来 看 还 不 现实 。 工 程 师 因此 开发 了 几 种 技术 ， 用 
于 将 IPv6 孤 岛 与 更 大 的 IPv4 Internet 连 接 起 来 。 

实现 远程 IPv6 连 接 的 常见 方法 是 使 用 IPv6 隧 道 代 理 。IPv6 隧 道 的 
理念 是 将 IPv6 流 量 封装 在 IPv4 之 内 。 位 于 隧道 末端 的 隧道 服务 器 接收 
IPv6 数 据 包 ， 并 将 其 封装 到 IPv4 报 头 中 ， 然 后 将 它 发 送 到 另外 一 个 末 
端 。 最 初 的 IPv6 数 据 包 在 这 个 末端 被 提取 出 来 ， 然 后 转发 到 目的 IPv6 
网 络 ( 见 图 13.4) 。 这 种 类 型 的 隧道 可 以 让 IPv6 网 络 与 其 他 IPv6 网 络 通 


言 。 管 理 员 可 以 在 家 乡 网 络 和 分 支 网 络 上 实现 和 测试 完整 的 IPv6 配 
置 ， 并 使 用 隧道 代理 将 其 连接 起 来 。 


IPv6 
隧道 服务 器 


网 络 


(Internet) 


IPv6 网 络 


IPv6 网 络 


图 13.4 隧道 代理 操作 隧道 服务 器 ， 使 得 IPv6 网 络 在 IPv4 网 络 中 连接 起 
来 


有 了 时， 网 络 直接 与 隧道 代理 签订 协议 ， 以 支持 IPv6 流 量 ， 有 时 候 
时 ISP 与 幕后 的 代理 签订 协议 ， 然 后 将 数据 包 发 送 给 提供 IPv6 支 持 的 终 
端 用 户 网 络 。 

下 面 的 小 节 将 讨论 这 一 隧道 概念 的 其 他 变 体 ， 其 中 包括 6to4 和 
Teredoo 

注意 ， 所 有 的 这 些 隧 道 技术 用 于 将 刻意 配置 的 IPv6 主 机 与 其 他 刻 
意 配置 的 IPv6 主 机 连接 起 来 。 这 提供 了 一 种 实现 IPv6 某 些 优势 的 方 
式 ， 比 如 高 级 多 播 和 服务 质量 ， 它 还 可 以 使 IT 工作 人 员 获 得 一 些 IPv6 
的 工作 经 验 ， 但 是 Internet 的 其 余部 分 仍然 与 以 往 相 同 ， 除 非 数 千 台 
Web 服 务 器 、 邮 件 服务 器 和 其 他 连接 Internet 的 服务 已 经 全 面 支持 
IPv6。 


13.11.1 6to4 


6to4 映 射 技术 提供 了 将 IPv4 自 动 映射 为 IPv6 地 址 的 一 种 方法 。6to4 
与 本 章 前 面 讲 解 的 地 址 映射 策略 相似 ， 但 是 它 保留 了 IPv6 地 址 空间 的 
一 个 特定 部 分 ， 从 而 创造 了 可 以 被 自动 识别 为 6to4 地 址 的 一 个 IPv6 地 
址 。 

6to4 提 供 了 一 种 方式 ， 使 得 即使 当 IPv6 网 络 没有 与 支持 IPv6 的 隧 
道 提 供 者 或 ITSP 进 行 协商 时 ， 仍 然 也 可 以 通过 IPv4 网 络 来 线性 化 
(threading) 地 发 送 IPv6 数据 包 。 在 有 些 情况 下 ， 隧 道 代 理 可 能 会 使 
用 6to4 作 为 隧道 技术 。 

6to4 背 后 的 理念 是 ， 将 IPv4 目 的 地 址 让 入 到 IPv6 地 址 内 。 前 缀 为 
2002::/16 的 IPv6 地 址 供 6to4 使 用 。32 位 的 IPv4 地 址 附加 到 这 个 前 缀 后 
面 ， 这 意味 着 IPv6 地 址 的 前 48 位 表示 该 地 址 是 一 个 6to4 地 址 ， 而 且 还 
指明 了 IPv6 子 网 ， 并 提供 了 在 整个 IPv4 网 络 上 路 由 的 IPv4 目 的 地 址 。 

一 个 6to4 中 继 服务 器 接收 这 个 自 改 后 的 ITPv6 地 址 ， 然 后 提取 出 
IPv4 地 址 ， 并 将 IPv6 数 据 包 封装 到 IPv4 数 据 包 之 内 ， 然 后 再 发 送 到 目 
的 地 址 〈 见 图 13.5) 。 在 数据 包 的 目的 地 址 ， 该 数据 包 被 发 送 到 运行 
在 任 播 地 址 192.88.89.1 上 的 6to4 中 继 ， 并 在 该 中 继 上 提取 出 最 初 的 
IPV6 数 据 包 ， 然 后 再 进行 发 送 。 


IPv6 网 络 


IPv4 


(Internet) 


6to4 
中 继 服 务 器 


图 13.5 一 台 6to4 中 继 服 务 器 接收 带 有 前 缀 2002::/16 的 IPv6 数 据 包 ， 提 
取出 里 面 的 IPv4 地 址 ， 然 后 创建 一 个 IPv4 数 据 包 ， 以 在 IPv4 网 络 中 传 


输 


13.11.2 Teredo 


6to4 隧 道 技术 是 一 种 可 以 为 IPv4 网 络 中 的 IPv6 节 点 提供 连通 性 的 
方法 。 该 方法 比较 有 效 而 且 也 很 流行 ， 但 是 它 还 有 一 个 很 大 的 问题 。 
IPv4 目的 地 址 必须 是 一 个 可 路 由 的 Internet 地 址 ， 如 果 目 的 地 址 是 一 个 
不 可 路 由 的 私有 网 络 地 址 ， 则 无 法 使 用 该 方法 。 不 乎 的 是 ， 大 量 的 
Internet 用 户 现在 都 是 在 NAT 设 备 之 后 的 私有 网 络 中 运行 。 而 Teredo 作 
为 6to4 的 替代 技术 应 运 而 生 ， 它 可 以 解决 NAT 设 备 的 问题 。 

Teredo 在 RFC 4380 中 定义 ， 它 使 用 UDP 传输 协议 ， 因 此 与 面向 连 
接 的 TCP 相 比 ， 它 能 更 好 地 通过 NAT 设 备 。Teredo 使 用 的 IPv6 前 缀 是 
3FFE:831F::/32, fERÉJUDP%5 03235440 

充当 Teredo 客 户 端的 计算 机 在 IPv4 NAT 后 面 运行 ， 它 可 以 使 用 
Teredo 通 过 IPv6 进 行 通 信 。Teredo 服 务 器 维护 者 NAT 后 面 的 客户 端 计 
算 机 的 信息 。 服 务 器 并 不 参与 数据 包 的 转发 ， 但 是 它 可 以 感知 到 客户 
端 和 Teredo 中 继 ， 并 参与 连接 的 建立 。 

指派 给 客户 端的 IPv6 地 址 包含 了 各 种 相关 的 信息 ， 这 些 信息 在 发 
送 数 据 时 会 用 到 。 跟 随 在 Teredo 前 (3FFE:831F::/32) 后 面 的 是 
Teredo 服 务 器 的 32 位 IPv4 地 址 。NAT 设 备 的 IPv4 地 址 也 罕 入 在 该 IPv6 地 
址 中 ， 这 台 NAT 设 备 充 当 私 有 网 络 和 UDP 端口 号 之 间 的 公共 接口 ， 其 
中 ，UDP 端 口号 已 经 映射 到 NAT 设 备 背 后 的 Teredo 客 户 端 。 

Teredo 是 一 种 功能 强大 的 技术 ， 有 些 网 络 已 经 开始 使 用 该 技术 ， 
但 是 它 在 一 定 程度 上 仍然 是 实验 性 质 的 ， 而 且 与 本 章 描述 的 其 他 隧道 
技术 一 样 ， 都 属于 临时 性 的 技术 。 当 Internet 最 初 实现 了 全 IPv6 连 接 之 
后 ， 这 些 使 IPv4 与 IPv6 协 同 工 作 的 策略 将 不 复 存 在 。 


13.12 小 结 


IPv6 是 下 一 代 的 下 协 议 ， 它 正 慢 慢 地 进入 到 真实 的 世界 中 。IPv6 
寻 址 系统 与 第 4 章 介绍 的 系统 是 完全 不 同 的 。128 位 的 地 址 空间 能 够 提 
供 近 平 无 限制 的 地 址 数量 。IPv6 还 提供 了 一 个 简单 的 报头 、 更 大 的 负 
载 以 及 与 安全 性 和 服务 质量 相关 的 增强 。IPv4 向 IPv6 的 迁移 已 经 开 
始 。 现 在 有 多 种 隧道 服务 在 现 有 的 IPv4 网 络 中 提供 了 连通 性 服务 。 
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问 : 为 什么 许多 IP 地 址 没有 被 使 用 ? 

E: 负责 分 配 这 一 个 Internet 地 址 空间 的 组 织 通 常 无 法 使 用 这 个 地 
址 空间 中 的 所 有 主机 ID。 

问 : 将 报头 信息 放 在 扩展 报头 而 不 是 主 报 头 的 好 处 是 什么 ? 

答 : 只 有 当 报头 中 的 信息 是 必要 的 时 候 ， 才 会 使 用 扩展 报头 。 另 
外 ， 路 由 器 并 不 处 理 大 部 分 扩展 报头 ， 所 以 也 不 会 降低 路 由 器 的 流 
Æo 

问 : IPv6 如 何 协助 实时 应 用 程序 (例如 视频 会 议 ) 进行 工作 ? 

答 : IPv6 报 头 中 的 流量 类 别 字段 和 流标 签字 段 提供 了 一 种 指明 数 
据 类 型 和 优先 级 的 方法 。 


13.14 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


13.14.1 问题 

1. 多 播 为 什 要 比 广播 更 高 效 ? 

2. 为 什么 IPv6 自 动 配置 要 比 IPv4 的 zeroconf (EHE) 自动 配置 
更 为 可 靠 ? 

3. IPv6 的 哪个 地 址 前 缀 供 6to4 使 用 ? 

4. 我 想 要 连接 到 一 个 远程 的 IPv6 网 络 中 ， 但 是 我 的 计算 机 位 于 
IPv4 NAT 设 备 的 后 面 。 我 应 该 使 用 哪 种 类 型 的 隧道 呢 ? 


13.14.2 练习 
Internet 上 有 几 个 可 用 的 IPv6 计 算 机 。 例 如 ，Subnet Online 


(http://www.subnetonline.com/pages/subnet-calculators/ipv4-to-ipv6- 
converter.php) 上 的 计算 机 可 以 将 IPv4 地 址 转换 为 IPv6 地 址 。 在 其 中 输 
入 你 的 IPv4 地 址 ， 然 后 单 击 IPv6 按 钮 ， 可 以 将 输入 的 地 址 转换 为 IPv6 
格式 的 地 址 。 

取决 于 你 使 用 的 地 址 和 网 络 掩 码 ， 你 可 能 会 看 到 一 个 映射 后 的 
6to4 地 址 ， 该 地 址 以 2002::/16 前 缀 打头 。 

使 用 其 他 IP 地 址 和 网 络 掩 码 进 行 测 试 ， 以 理解 IPv4 是 如 何 映射 到 
IPV6 的 。 
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复习 下 列 关 键 术语 : 

> 6to4: 一 种 流行 的 ITPv6 隧 道 技术 。 

> 任 播 : 将 数据 报 发 送 到 最 近 或 最 佳 目的 的 一 种 寻 址 技术 。 

> 流 级 别 : 指派 给 IPv6 数 据 报 ， 以 表明 需要 对 其 进行 特殊 的 处 
理 ， 或 者 表示 吞吐 量 的 一 个 特殊 级 别 (比如 “实时 ”) o 

> IPv6: 带 有 128 位 IP 地 址 的 新 卫 寻 址 标准 。IPv6 设 计 者 们 希望 
IPv6 可 以 在 未 来 的 几 年 中 被 逐步 采用 。 

> ERA: 长 度 大 于 传统 的 65535 字 节 限 制 的 数据 报 载 荷 。 
IPv6 能 够 让 巨型 载荷 数据 报 通 过 网 络 传递 。 

> 最 大 传输 单元 (MTU) : 路 由 器 可 以 传输 的 最 大 数据 单元 。 

> 多 播 : 将 数据 发 送 到 网 段 中 一 组 用 户 的 一 种 技术 。 

> 邻居 发 现 : 在 IPv6 网 络 中 ， 将 IPv6 地 址 映射 到 物理 地 址 的 过 
程 。 

> 路 径 MTU: 传输 路 径 上 的 任何 设备 都 可 以 处 理 的 最 小 MTU 设 
置 。 路 径 MTU 表 示 传 输 路 径 可 以 传输 的 最 大 数据 单元 。 

> Teredo: 用 于 应 对 NAT 设 备 的 一 种 IPv6 隧 道 技术 。 
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$145 TCPAPTA 
本 章 介 绍 如 下 内 容 : 


> 协议 问题 ，; 

> 线路 问题 ，; 

> 名 称 解析 问题 ，; 

> 网 络 性 能 问题 。 

在 TCP/IP 环境 中 ， 包 含 大 量 用 于 设置 、 管 理 以 及 检测 网 络 连接 故 
障 的 标准 工具 。 这 些 TCP/P 工 具 的 历史 可 以 追溯 到 现代 的 图 形 用 户 界 
面 产生 之 前 ， 而 且 其 中 许多 工具 是 用 于 命令 行 界面 的 。 命 令 行 界面 可 
能 听 起 来 有 点 过 时 了 ， 但 是 许多 经 验 丰富 的 网 络 管理 员 仍然 认 为 ， 在 
命令 提示 符 下 工作 ， 要 比 单 击 鼠标 和 拖 动 窗口 更 快 、 更 简单 ， 也 更 有 
效 。 

本 章 将 从 一 些 可 以 帮助 您 检测 和 配置 TCP/IP 网 络 的 工具 开始 。 当 
您 需要 识别 连通 性 问题 、 检 测 网 络 节点 之 间 的 通信 ， 或 者 检查 您 网 络 
上 计算 机 的 TCP/IP 配 置 时 就 会 发 现 ， 这 些 工具 是 不 可 或 缺 的 。 

学 完 本 章 后 ， 你 可 以 : 

> 认识 和 描述 常见 的 TCP/IP 连 接 工具 ， 

> 使 用 这 些 连 接 工具 来 检测 网 络 问题 。 


14.1 HA jn 


前 面 几 章 讲 到 ， 一 个 协议 就 是 一 种 通信 标准 。 软 件 生产 商 依照 相 
应 标准 所 描述 的 操作 ， 制 作出 软件 模块 来 执行 该 标准 。 人 们 直接 安装 
和 配置 所 需 的 协议 软件 ， 或 者 是 通过 安装 支持 相应 协议 软件 的 操作 系 
统 来 获得 。 你 可 能 已 经 猜 到 ， 当 相应 的 软件 被 启动 并 运行 时 ， 网 络 仍 
然 可 能 无 法 工作 。 有 时 ， 某 些 服务 功能 正常 而 其 他 的 不 正常 。 其 他 时 
候 ， 一 台 计 算 机 可 以 连接 到 某 台 远程 PC， 却 无 法 连接 到 另外 一 台 。 偶 
尔 ， 某 台 计 算 机 似乎 根本 没有 任何 网 络 访问 权 ， 就 好 像 根本 没有 连接 
十 一样 。 

网 络 功 能 障碍 通常 源 于 一 些 常见 的 问题 。TCP/IP 社区 已 经 开发 出 
大 量 工具 ， 用 于 发 现 这 些 问题 并 追溯 它们 的 源头 。 本 章 将 讨论 一 些 常 
见 的 网 络 问题 ， 以 及 可 以 用 来 解决 这 些 问 题 的 工具 。 

最 常见 的 网 络 连接 问题 通常 属于 下 列 4 种 之 一 。 

> 协议 功能 障碍 或 配置 错误 : 协议 软件 不 工作 (不 管 是 什么 原 
或 配置 不 正确 。 

> 线路 问题 : 某 段 电缆 没 插 上 或 有 故障 。 某 个 HUB、 路 由 器 或 
交换 机 不 工作 。 

> 名 称 解 析 有 误 : DNS 或 NetBIOS 名 称 无 法 被 解析 。 资 源 可 以 通 
过 IP 地 址 访问 ， 但 无 法 通过 主机 名 或 DNS 名 称 访问 。 

> 线路 堵塞 : 网 络 似乎 还 在 工作 ， 但 运行 缓慢 。 

下 面 几 节 将 讨论 解决 这 些 常见 连通 性 问题 的 工具 和 技术 。 


NA 


14.2 协议 =; 误 


如 同 任何 软件 一 样 ，TCP/IP 协 议 软 件 有 时 也 会 出 现 安装 不 当 的 情 
况 。 就 算 安 装 好 了 ， 它 也 会 因为 文件 受 损 或 系统 配置 改变 而 无 法 工 
作 。 例 如 ， 即 使 该 软件 正在 工作 ， 计 算 机 也 可 能 因为 其 IP 地 址 和 子 网 
掩 码 不 正确 而 无 法 连接 到 其 他 计算 机 。 

TCP/IP 协 议 簇 提供 了 如 下 所 示 的 大 量 实用 工具 ， 可 以 帮助 你 检测 
TCP/IP 是 否 运 作 正 常 或 配置 是 否 正确 。 

> ping: 这 是 个 极其 有 用 的 诊断 工具 ， 通 过 发 起 一 个 简单 的 网 络 
连通 性 测试 ， 报 告 其 他 计算 机 的 回应 情况 。 

> 配置 信息 工具 : 每 个 操作 系统 厂商 都 会 提供 一 些 工具 用 于 显示 
TCP/IP 的 配置 信息 ， 并 帮助 你 检查 IP 地 址 、 子 网 掩 码 、DNS 服 务 器 和 
其 他 参数 是 否 配 置 正确 。 

> arp: 该 功能 可 以 用 来 查看 和 配置 ARP 缓 存 ( 见 第 4 章 ) 的 内 
容 ， 这 些 内 容 可 以 将 了 P 地 址 和 物理 地 址 (MAC 地 址 ) 关联 起 来 。 

这 些 工具 已 经 成 为 所 有 操作 系统 实现 TCP/IP 时 的 标 配 。 下 面 我 们 
开始 介绍 这 些 重要 的 TCP/IP 配 置 工具 。 


14.2.1 ping 


如 果 您 发 现 计 算 机 无 法 完成 某 项 网 络 操 作 ， 应 该 想到 的 第 一 个 问 
题 就 是 : 它 是 否 能 完成 其 他 网 络 操作 ? 换 名 话说， 您 的 计算 机 还 是 当 
前 网 络 中 的 一 员 吗 ?使 用 ping 工 具 就 能 回答 这 个 问题 。 它 发 起 一 个 最 
小 的 网 络 连 通 性 测试 ， 发 送 一 则 消息 给 另 一 台 计 算 机 ， 就 好 像 在 说 “您 
在 那里 吗 ? ”， 然 后 等 待 那 台 计算 机 的 回应 。 

注意 : ping 名 称 的 由 来 

ping 这 个 名 字 起 源 于 声 纳 技术 ， 该 技术 帮助 潜艇 或 舰艇 定位 其 他 
物体 。 单 词 ping 是 数据 包 Internet 查 询 工 具 (Packet Internet Groper) 的 
缩写 。 

ping 命 令 的 基本 形式 如 下 : 

ping <IP 地 址 > 

这 里 的 “PP 地 址 ”为 你 想 要 连接 的 计算 机 的 地 址 。 和 其 他 工具 一 
样 ，ping 工 具 还 提供 大 量 附加 的 命令 行 选 项 。 根 据 实 现 和 操作 系统 的 
不 同 ， 这 些 选项 会 有 所 不 同 。 

ping 工 具 使 用 ICMP Echo Request $ (EX ICMP 的 更 多 信息 ， 
请 见 第 4 章 ) ， 向 接收 方 计算 机 发 送 一 条 消息 。 如 果 接 收 方 计算 机 存在 
并 运行 正常 ， 它 将 以 ICMP Echo Reply 消 息 方式 作出 响应 。 

当 发 送 方 计算 机 收 到 回复 时 ， 它 会 输出 一 条 消息 ， 说 明 ping 成 功 
So 

成 功 执行 完 ping 命 令 ， 说 明 接 收 方 和 发 送 方 计算 机 都 在 网 络 上 且 
可 以 相互 通信 。 但 是 请 注意 ，ping 只 是 一 种 最 低 限度 的 网 络 应 用 ， 它 
仅 要 求 TCP/IP 栈 底部 两 层 (也 即 OSI 栈 的 底部 3 层 ) 可 以 使 用 。 您 的 
问题 可 能 出 现在 TCP、UDP 或 较 高 两 层 中 的 应 用 上 ， 但 此 时 ping 仍 然 
会 成 功 。 如 果 ping 运 行 正 确 ， 就 基本 上 能 排除 问题 出 现在 网 络 访问 
层 、 网 络 适 配器 、 电 缆 甚 至 路 由 器 上 了 。 


ping 提供 的 一 系列 选项 使 它 在 网 络 故障 诊断 方面 特别 有 用 。 您 
以 用 如 下 方式 使 用 ping。 

> 使 用 一 个 被 称 为 环 回 地 址 (127.0.0.1) 的 特殊 地 址 来 ping 本 地 
IP 软 件 。 如 果 命 令 ping 127.0.0.1 执 行 成 功 ， 说 明 你 的 TCP/TP 协 议 软件 
运行 正常 。 

> ping 你 自己 的 PHBH (就 是 ping 你 自己 ) 。 如 果 能 ping 通 分 配 
给 你 的 网 络 适 配器 的 IP 地 址 ， 则 说 明 该 适配器 配置 正确 ， 并 且 可 以 与 
TCP/IP 软 件 交 互 。 

> ping 主 机 名 。 绝 大 多 数 系统 允许 在 ping 命 令 中 使 用 主机 名 来 蔡 
代 相 应 的 IP 地 址 。 如 果 使 用 IP 地 址 可 以 ping 通 某 台 计算 机 ， 却 无 法 通 
过 其 主机 名 ping 通 ， 则 可 以 推断 问题 一 定 和 名 称 解 析 有 关 。 

在 一 个 典型 的 排 错 场景 中 ， 网 络 管理 员 会 执行 如 下 ping 命 令 。 

1. ping 环 回 地 址 (127.0.0.1) ， 检 测 TCP/PP 软 件 在 本 地 计算 机 上 

GOLFER. 

2. ping 本 地 IP 地址， 检测 网 络 适配器 是 否 运 行 正常 ， 以 及 本 地 
IP 地 址 配置 是 否 正 常 。 

3. ping 默认 网 关 ， 检 测 当 前 计算 机 是 否 可 以 与 本 地 子 网 通信 ， 以 
及 默认 网 关 是 否 在 线 。 

4. ping 默 认 网 关 之 外 的 某 个 地 址 ， 检 测 该 网 关 是 否 能 将 数据 包 转 
发 出 本 地 网 段 。 

5. 使 用 主机 名 ping 本 地 主机 和 远程 主机 ， 检 测 名 称 解析 功能 是 否 

正果 < 

有 些 管理 员 更 喜欢 以 相反 的 顺序 来 应 用 这 些 步 又， 也 就 是 先 检 测 
Internet， 最 后 再 检测 换 回 地 址 。 无 论 哪 种 情况 ， 其 目的 都 是 相同 的 ， 
即 找 出 通信 中 断 的 地 方 。 上 述 步 又 是 查找 网 络 故 障 的 良好 开端 ， 也 许 
执行 后 还 找 不 到 网 络 故 障 所 在 ， 但 至 少 可 以 从 执行 结果 中 找到 故障 线 
Ro 


注意 : ping 命 令 输出 结果 详解 

依据 实现 的 不 同 ，ping 命 令 的 输出 也 是 不 同 的 。 在 某 些 系统 中 
(如 Slolaris 系 统 ) ， 只 会 输出 一 行 来 表示 被 叫 地址 正常 。 在 某 些 Linux 
版 本 (默认 安装 ) 中 ，ping 会 不 停 发 送 ICMP 数据 包 并 不 停 输出 数据 
包 响 应 信息 ， 直 到 使 用 Ctrl+C 组 合 键 强 行 终止 。 在 Windows 系 统 中 ， 
通常 会 发 送 4 个 ICMP Echo Request 并 输出 4 个 响应 。 其 实 发 送 4 个 
Echo Request 消 息 却 只 收 到 3 个 或 更 少 回应 信息 的 情况 并 不 少见 ， 但 这 
种 接收 数据 量 的 偶尔 下 降 可 不 是 因为 网 络 出错 ， 因 为 ICMP 协 议 本 身 并 
不 保证 传输 正确 ， 不 过 ， 丢 失 响 应 信息 可 以 说 明 当前 的 网 络 十 分 拥 
挤 。 尽 管 有 时 会 丢失 部 分 响应 信息 ， 但 是 在 大 多 数 情况 下 ，ping 命 令 
执行 的 结果 都 是 收 到 所 有 的 响应 信息 〈 说 明 连 接 正 常 ) ， 或 丢失 全 部 
响应 信息 (说 明 连 接 有 误 ) o 

某 些 版 本 的 ping 工具 还 会 显示 一 个 以 毫秒 为 单位 的 时 间 信 息 ， 表 
示 从 发 出 Echo Request 消 息 到 收 到 Echo Reply 消 息 之 间 的 时 间 间 隔 。 当 
这 个 时 间 较 短 时 ， 表 明 数 据 报 没有 经 过 太 多 路 由 器 或 速度 缓慢 的 网 
络 ， 如 果 ping 响 应 返回 的 TITL 值 接近 零 ， 则 可 能 说 明 当 前 连接 可 能 接 
近 于 TTL 的 阐 值 ， 而 且 部 分 包 可 能 被 丢弃 或 重新 发 送 。 


14.2.2 AL 


所 有 现代 操作 系统 都 会 提供 查看 当前 TCP/IP 配置 的 工具 。 这 些 工 
具 会 输出 本 地 计算 机 的 IP 地 址 、 子 网 掩 码 和 默认 网 关 等 信息 ， 使 用 这 
些 工 具 还 可 以 检验 计算 机 的 IP 地 址 信息 是 否 与 你 期 望 的 相同 。 随 着 
DHCP 的 日 渐 流行 ， 从 配置 文件 或 设置 对 话 框 中 并 不 总 能 确定 IP 地 址 
信息 ， 而 配置 信息 工具 则 可 以 显示 计算 机 当前 实际 使 用 的 IP 地 址 。 如 
果 您 的 计算 机 被 配置 为 使 用 DHCP 来 分 配 IP 地 址 ， 那 么 你 甚至 会 发 现 
该 计算 机 没有 IP 地 址 ， 这 说 明 与 DHCP 服 务 器 的 连接 发 生 了 错误 。 

当然 ， 这 些 工 具 不 会 告诉 你 ， 你 的 卫 地 址 和 子 网 掩 码 应 该 是 什 
么 ， 它 们 只 是 告知 你 的 计算 机 当前 使 用 什么 IP 地 址 和 子 网 掩 码 ， 然 后 
由 您 来 验证 地 址 参数 是 否 与 当前 网 络 的 IP 寻 址 方案 (请 见 第 5 章 和 第 6 
章 ) 一 致 。 

UNIX 和 Linux 系 统 使 用 ifconfig 命 令 来 显示 地 址 信息 。 前 几 章 中 讲 
过 ，IP 地 址 实际 上 是 与 网 络 接口 〈 例 如 网 络 适 配 卡 ) 关联 ， 而 不 是 计 
算 机 本 身 。 如 果 一 台 计 算 机 拥有 两 个 网 络 接口 ， 就 会 拥有 两 个 IP 地 
址 。ifconfig 命 令 会 根据 不 同 的 网 络 接口 显示 地 址 信息 。 

要 想 使 用 ifconfig 显 示 IP 地 址 信息 ， 输 入 如 下 命令 : 

ifconfig < 接口 名 称 > 

这 里 的 < 接口 名 称 > 指 的 是 要 显示 IP 地 址 信息 的 网 络 接口 (在 UNIX 
和 Linux 系 统 中 ， 每 个 网 络 接 口 都 由 配置 文件 ( 它 定义 了 接口 ) 分 配 了 
一 个 名 称 ， 并 使 用 该 名 称 来 引用 这 些 接口 ) 。 例 如 : 

ifconfig ethO 

执行 该 命令 将 显示 名 为 eth0 的 网 络 接口 的 当前 IP 地 址 和 子 网 掩 码 

(根据 UNIX 和 Linux 版 本 的 不 同 ， 有 时 还 会 显示 出 其 他 参数 ) 。 

直接 在 ifconfig 命 令 行 中 写 入 IP 地 址 和 子 网 掩 码 ， 即 可 直接 配置 对 

应 网 络 接口 的 IP 地 址 : 


ifconfig ethO <IP 地 址 > netmask < 网 络 掩 码 > 

这 里 的 <IP 地 址 > 和 < 网 络 掩 码 > 分 别 是 指 网 络 接口 eth0 的 IP 地 址 和 
网 络 掩 码 。 

使 用 ifconfig 的 up 和 down 选 项 ， 可 以 启用 和 蔡 用 相应 的 网 络 接口 。 
例如 : 

ifconfig ethO up 

ifconfig eth0 down 

还 有 其 他 的 ifconfig 选 项 可 以 使 用 ， 不 同 版 本 的 情况 会 有 所 不 同 。 
有 关 ifconfig 命 令 的 更 多 细节 ， 可 以 查看 UNIX/Linux 系 统 中 的 ifconfig 
man 页 面 ， 如 下 所 示 : 

man ifconfig 

Windows 系 统 使 用 ipconfig 命 令 来 显示 本 地 的 TCP/IP 配 置 情况 。 

输入 ipconfig /? 可 列 出 ipconfig 的 所 有 选项 。 下 面 列 出 了 一 些 重 
要 的 选项 。 

> Default (无 参数 ) : 当 ipconfig 没 有 应 用 选项 时 ， 将 会 显示 每 

个 配置 接口 的 IP 地 址 、 子 网 掩 码 和 默认 网 关 ， 如 图 14.1 上 半 部 分 所 
小 o 


¿Wipconfig 

indows NT IP Configuration 

thernet adapter Elnk31: 
IP Adurwwsws. . . 2 . >> +» : 192.59.68.200 
Subnet Mask . . . . . . : 255.255.255.0 
Default Gateway . : 192.59.66.1 

:\>ipeonfig /all 

indows NT IP Configuration 


Host Name . . : instructor.earthlink.net 
ONS Servers... 


149.173.211.5 
Node Type . Broadcast 
NetBIOS Scope 10. 
IP Routing 2... No 


WINS Proxy Enable No 
NetBIOS dojo pas Uses DNS No 


thernet adapter Eink3l: 


Description u... : ELNK3 Ethernet Adapter 
Physical Address. : : 00-20-AF-27-BB-BS 
DHCP Enabled. . . a. ee 

IP Address ar . « « ¢ 192.59.66.200 

Subnet Mask T . . . 5 295.255.255.0 

Default Gateway . . . : 192.59.66.1 


图 14.1 ipconfig#lipconfig/al 命令 和 执行 结果 


> all: 当 使 用 al 选项 时 (ipconfig /all) ，ipconfig 命 令 将 显示 一 

些 额外 信息 ， 比 如 所 使 用 的 DNS 和 WINS 服 务 器 的 了 地 址 ， 以 及 本 地 网 
络 适 配器 的 物理 地 址 “MAC 地 址 ) 。 如 果 地 址 是 从 DHCP 服 务 器 租用 
的 ，ipconfig 将 显示 DHCP 服 务 器 的 地 址 和 租赁 到 期 的 日 期 。 

> release 或 renew: 只 有 在 计算 机 从 DHCP 服 务 器 中 租用 IP 地 址 
时 ， 这 些 可 选 参数 才 工 作 。 如 果 执 行 ipconfig /release， 从 DHCP 服 务 
器 上 租用 的 IP 地 址 将 被 释放 。 反 之 ， 如 果 执 行 ipconfig /renew， 本 地 
计算 机 会 试图 连接 一 个 DHCP 服 务 器 并 租用 一 个 IP 地 址 。 请 注意 ,在 
大 多 数 情 况 下 ， 网 络 适配器 会 重新 分 配给 计算 机 一 个 和 之 前 相同 的 IP 
地 址 。 

注意 : release 和 renew 


当 一 台 计 算 机 拥有 多 个 网 络 适 配器 时 ，release 和 renew 选 项 每 次 可 
以 释放 或 重新 租用 一 个 适配器 的 地 址 。 假 设 其 中 一 个 网 络 适 配器 叫做 
Elnk31， 则 这 个 网 络 适 配器 可 以 用 ipconfig /release Elnk31 或 ipconfig 
/renew Elnk31 命 令 来 释放 或 重新 租用 其 地 址 。 

Mac OS 又 通过 System Preferences 〈 见 图 14.2) 中 的 Network 应 用 
程序 显示 网 络 配置 信息 。 由 于 Mac OS X 实 际 上 是 一 种 UNIX 系 统 ， 所 
以 也 可 以 通过 在 Terminal 窗 口中 输入 ifconfig 来 查看 网 络 配 置 。 


« 446 E 
Show All Displays Sound | Network Startup Disk 
Location: | Automatic 4 
Show: | AirPort a 
A Airport DOFEP/AIPS) AppleTalk Proxies } 
Configure IPv4: | Using DHCP 2) 
IP Address: 192.168.1.3 


Subnet Mask: 255.255.255.0 DHCP Client ID: 
(if required) 


Router: 192.168.1.1 


DNS Servers: (Optional) 


Search Domains: (Optional) 
IPv6 Address: feB0:0000:0000:0000:0211:24ff:fe1f:3608 


® 


e Chick the lock to prevent further changes. Apply Now 


图 14.2 Mac OS X Network 应 用 程序 可 以 查看 网 络 配置 


14.2.3 地 址 iv 


ARP 是 一 种 重要 的 TCP/IP 协 议 ， 用 来 确定 与 某 一 IP 地 址 相对 应 的 
物理 (MAC) 地 址 。TCP/IP 网 络 上 的 每 台 主机 都 维护 着 一 个 ARP 缓 
存 ， 即 一 张 用 来 关联 IP 地 址 和 物理 地 址 的 表 。arp 命 令 可 以 帮助 你 了 解 
本 地 计算 机 或 其 他 计算 机 ARP 缓 存 中 当前 的 内 容 。 在 大 多 数 情况 下 ， 
协议 软件 会 更 新 ARP 缓 存 ， 而 很 少 需要 你 使 用 amp 命令 来 检测 网 络 连 通 
性 问题 。 但 是 ， 在 追踪 与 IP 地 址 和 物理 地 址 关联 相关 的 微妙 问题 时 ， 
arp 命 令 偶 尔 还 是 很 有 用 的 。 

arp 命 令 还 可 以 帮助 你 手动 输入 想得到 的 物理 /IP 地 址 对 。 系 统管 理 
员 有 时 需要 为 经 常 使 用 的 主机 (比如 默认 网 天 和 本 地 服务 器 ) 手动 输 
入 arp 命令 。 这 种 方法 有 助 于 减少 网 络 流 量 (尽管 在 小 型 网 络 中 ， 这 
是 没有 必要 的 ) 。 

ARP 缓存 内 的 条 目 在 默认 情况 下 是 动态 的 ， 每 当 发 送 一 个 定向 数 
据 报 且 目的 计算 机 的 ARP 缓 存 中 不 存在 当前 条 目 时 ， 相 应 的 条 目 就 会 
被 自动 加 入 到 缓存 中 。 一 旦 它们 进入 ， 缓 存 条 目 就 开始 计时 并 在 计时 
期 满 后 删除 。 因 此 ， 如 果 您 发 现 ARP 缓 存 中 只 有 很 少 或 根本 没有 条 和 目 
时 也 不 必 惊 讶 ， 当 ping 其 他 计算 机 或 路 由 器 时 ， 会 目 动 加 入 条 目 。 下 
面 amp 命令 可 以 用 来 查看 缓存 条 目 。 

arp -a: 使 用 这 条 命令 可 查看 所 有 的 ARP 缓 存 条 目 。 

> arp-g: 使 用 这 条 命令 可 查看 所 有 的 ARP 缓 存 条 目 。 

注意 : 显示 ARP 缓 存 条 目 

arp -a 和 arp-g 都 可 以 使 用 。-g 选 项 显示 全 部 ARP 缓 存 记 录 ， 多 年 来 
一 直 在 UNIX 平 台 上 使 用 。Windows 使 用 arp -a (把 -a 看 作 all) ， 但 是 
它 也 接受 比较 传统 的 -g 选 项 。 

> arp -a IP 地 址 : 如 果 有 多 个 网 络 适 配器 ， 则 可 以 通过 执行 arp - 
a 加 这 个 网 络 接口 的 了 P 地 址 的 方式 ， 只 查看 某 个 网 络 接口 的 ARP 缓 存 条 


目 ， 例 如 arp -a 192.59.66.200. 

> arp-s: 可 以 向 ARP 缓 存 手动 添加 一 个 永久 性 的 静态 条 目 。 就 
算计 算 机 重新 启动 ， 该 条 目 都 一 直 有 效 ， 而 且 如 果 在 应 用 手动 配置 的 
物理 地 址 时 发 生 错 误 ， 该 内 容 会 自动 更 新 。 例 如 ， 要 想 手动 为 IP 地 址 
192.59.66.250 和 物理 地 址 0080C7E07EC5 的 服务 器 添加 一 个 条 目 ， 可 输 
入 arp -s 192.59.66.250 00-80-C7-E0-7E-C5o 

> arp -d IP 地 址 : 这 个 命令 用 于 手动 删除 手动 输入 的 一 个 静态 条 
目 。 例 如 ， 输 入 arp -d192.59.66.250。 

图 14.3 显 示 的 是 arp 命 令 和 执行 结果 的 示例 。 


‘\arp -a 
ARP Entries Found 


ı\>ping 192.59.66.250 


inging 192.59.66.250 with 32 bytes of data: 


192.59.66.250: bytes:32 timo<10mo TTL:128 
192.59.66.250: byte6s32 time<10ns TTL:128 
192.59.66.250: bytes:32 timeciOme TTL:128 
192.59.66.250: bytes:32 time<10ns TTL:128 


nterface: 192.59.66.200 on Interface 2 
Internet Address Physical Address 
192.59.66.250 00-80-cT-e0-Te-cS 
:\Darp -s 192.59.66.250 00-80-CT-E0-TE-CS 
ı\>arp "a 

nterface: 192.59.66.200 on Interface 2 
Internet Address Physical Address 
192.59.66.250 00-80-cT-e0-Te-c5 
¿Warp -d 192.59.66.250 


:\arp -a 
ARP Entries Found 


Ve 


14.3 arp 命 令 和 执行 结 


14.3 线路 问题 


网 络 HUB 或 电缆 的 问题 并 不 是 真正 的 TCP/IP 问 题 。 但 是 ， 仍 然 可 
以 运用 TCP/IP 诊 断 工具 (比如 ping) 来 诊断 线路 问题 。 一 般 来 说 ， 如 
果 网 络 在 正常 工作 时 突然 中 断 ， 往 往 都 是 线路 问题 的 原因 。 这 时 需要 
确认 所 有 网 络 电缆 均 已 被 正确 插入 。 绝 大 多 数 网 卡 、HUB 和 路 由 器 都 
有 显示 灯 来 表明 它们 是 否 开 启 ， 以 及 是 否 准 备 好 接收 数据 。HUB、 路 
由 器 或 交换 机 的 每 个 端口 都 有 一 个 链 路 状态 灯 ， 显 示 相 应 端口 是 否 
活动 的 网 络 连接 。 有 一 些 工具 专门 测试 网 络 布线 。 如 果 没 有 电缆 检测 
工具 ， 也 可 以 拔 掉 可 疑 电 缆 ， 换 上 新 电缆 ， 看 看 是 不 是 解决 了 问题 。 

你 也 可 以 使 用 ping (前 面 已 经 讲 过 ) 来 排查 线路 问题 。 如 果 一 台 
计算 机 可 以 ping 通 自己 的 地 址 ， 但 无 法 ping 通 网 络 中 的 其 他 任意 地 
址 ， 问 题 则 可 能 出 现在 计算 机 和 本 地 子 网 的 连接 电缆 部 分 。 


14.4 E 


当 某 个 消息 要 去 往 的 主机 名 不 能 在 网 络 中 被 解析 时 ， 会 出 现 名 称 
解析 问题 。 名 称 解析 问题 不 能 算是 连通 性 问题 ， 因 为 发 生 这 类 问题 并 
不 一 定 意 味 着 源 计 算 机 连接 不 上 目标 计算 机 。 实 际 上 ， 正 如 前 面 一 节 
提 太 的 那样 ， 名 称 解析 问题 最 常见 的 症状 是 产 计 算 机 可 以 连接 到 目标 
计算 机 的 IP 地 址 ， 但 却 无 法 用 目标 计算 机 的 名 字 来 进行 连接 。 尽 管 在 
严格 意义 上 说 ， 名 称 解析 问题 不 能 算是 连通 性 问题 ， 但 作为 一 个 实际 
的 问题 ， 如 今 ， 网 络 中 的 资源 经 常用 主机 名 或 NetBIOS 名 称 来 进行 引 
用 ， 而 当 你 第 一 次 尝试 连接 到 某 一 主机 时 ， 也 经 常会 使 用 主机 名 。 如 
果 连 接 失败 ， 就 应 该 实施 我 们 之 前 讨论 ping 命 令 时 提 到 的 故障 诊断 步 
又 了 。 如 果 仍 然 可 以 通过 IP 地 址 进行 连接 ， 那 么 就 可 能 遇 到 了 名 称 解 
析 问 题 。 

当 您 考虑 了 名 称 解析 (OLS 10 章 ) 的 过 程 后 时 ， 许 多 常见 的 名 称 
解析 问题 就 很 容易 发 现 了 。 下 面 列 出 了 一 些 常见 原因 。 

> 主机 文件 丢失 或 不 正确 。 

> 名 称 服务 器 离线 。 

> 在 客户 端 配置 中 ， 名 称 服务 器 没有 被 正确 引用 。 

> 设法 连接 的 主机 在 名 称 服 务 器 中 没有 记录 。 

命令 中 使 用 的 主机 名 不 正确 。 

如 果 无 法 根据 主机 名 连接 到 某 人 台 计 算 机 ， 可 以 先 试 试 连接 其 他 的 
计算 机 。 如 果 用 主机 名 连接 到 了 计算 机 A， 却 无 法 连接 到 计算 机 B， 则 
问题 可 能 在 于 计算 机 B 和 它 的 名 称 服务 引用 方式 。 如 果 计 算 机 A 和 计算 
机 B 均 连接 失败 ， 则 可 能 是 名 称 服务 设备 发 生 了 一 般 性 故障 。 

如 果 发 现在 使 用 一 台 名 称 服 务 器 的 网 络 上 出 现 了 名 称 解析 问题 ， 
最 好 通过 ping 命 令 来 确认 这 台 服 务 器 是 否 在 线 。 如 果 该 名 称 服 务 器 在 
本 地 子 网 之 外 ， 要 先 ping 网 天 ， 以 确认 名 称 解析 请 求 可 以 抵达 名 称 服 


务 器 ， 还 要 仔细 检查 您 输入 的 资源 名 称 ， 以 确保 正确 。 如 果 上 述 措施 
都 无 法 解决 问题 ， 则 可 以 利用 nslookup 工 具 查 询 名 称 服务 器 的 具体 条 
目 。 有 关 nslookup 和 其 他 DNS 工具 的 详情 ， 请 见 第 10 章 。 

如 果 不 知 道 自 己 所 用 计算 机 的 主机 名 ， 请 使 用 hostname 命令 。 大 
多 数 操作 系统 都 支持 hostname 命 令 ， 这 个 简单 的 命令 可 以 返回 本 地 计 
算 机 的 主机 名 。hostname 命 令 不 需要 任何 参数 或 选项 ， 只 需 输 入 
hostname 命 令 ， 然 后 查看 它 返回 的 那 一 行 结 果 即 可 。 


14.5 Wé jr 


网 络 性 能 问题 导致 网 络 响应 缓慢 。 因 为 TCP/IP 协 议 通 常 使 用 TTL 
(生存 周期 ) 设置 来 限制 数据 包 在 网 络 上 的 传输 时 间 ， 缓 慢 的 网 络 性 
能 会 导致 数据 包 丢 失 及 失去 连通 性 。 就 算 连 接 没 有 断 开 ， 缓 慢 的 网 络 
性 能 也 是 降低 生产 效率 的 一 个 因素 和 根源 。 通 常 导致 网 络 性 能 变 差 的 
原因 是 流量 过 度 ， 流 量 过 度 的 原因 可 能 是 网 络 上 存在 过 多 计算 机 ， 也 
可 能 是 设备 故障 。 例 如 ， 一 块 网 卡 在 网 络 出 现 广 播 风 暴 时 ， 就 会 产生 
大 量 不 必要 的 网 络 流量 。 有 时 导致 网 络 性 能 下 降 的 原因 是 ， 某 个 产生 
故障 的 路 由 器 停止 转发 网 络 流量 ， 导 致 网 络 传输 出 现 瓶颈 。 

TCP/IP 协 议 提供 了 大 量 用 于 查看 数据 包 流 向 和 显示 网 络 性 能 统计 
的 工具 。 下 面 我 们 就 来 讨论 这 些 工 具 。 


14.5.1 traceroute 


traceroute 工具 用 于 跟踪 数据 报 的 传输 路 径 : 当 数 据 报 从 一 台 计 算 
机 传 向 另 一 台 计 算 机 时 ， 会 经 过 多 重 的 网 天 ， 通 过 traceroute 工 具 跟 路 
到 的 传输 路 径 只 是 这 两 全 计算 机 之 间 砍 多 通路 中 的 一 条 ， 所 以 不 能 肯 
定 或 假设 数据 报 会 永远 只 走 这 一 条 通路 。 如 果 你 的 计算 机 使 用 的 是 
DNS， 您 还 会 经 常 从 返回 结果 中 辨认 出 城市 、 地 区 和 运营 商 的 名 称 。 
traceroute 是 一 条 缓慢 的 命令 ， 因 为 每 经 过 一 台 路 由 器 都 要 花 去 大 约 10 
—15%Do 

traceroute (Windows 系 统 下 是 tracert) 命令 利用 ICMP 协 议定 位 你 
的 客户 端 计 算 机 和 目的 计算 机 之 间 的 所 有 路 由 器 。TTL 值 可 以 反映 数 
据 包 经 过 的 路 由 器 或 网 关 的 数量 ， 通 过 操作 原始 的 ICMP Echo 消息 中 
使 用 的 TTL 值 ，traceroute 命 令 能 够 找到 数据 包 传 输 路 径 上 的 所 有 路 由 
器 ， 其 过 程 如 下 。 

1. 将 传递 到 目的 IP 地 址 的 ICMP Echo 消息 的 TTL 值 被 设置 为 1， 
该 消息 报 经 过 第 一 个 路 由 器 时 ， 其 TIL 值 减 去 1， 此 时 新 产生 的 TTL 值 
为 0。 

2. AF TTL 值 被 置 为 0， 路 由 器 判断 此 时 不 应 该 党 试 继续 转发 
数据 报 ， 而 是 直接 抛弃 该 数据 报 。 由 于 数据 报 的 生存 周期 (TTL 值 ) 
已 经 到 期 ， 这 个 路 由 器 会 发 送 过 一 个 ICMP 时 间 超 时 ， 即 TTL 值 过 期 信 
息 返 回 到 客户 端 计 算 机 。 

3. 此 时 ， 发 出 traceroute 命 令 的 客户 端 计算 机 将 显示 该 路 由 器 的 名 
称 ， 之 后 可 以 再 发 送 一 个 ICMP Echo 消息 并 把 TTL 值 设置 为 2。 

4. 第 1 个 路 由 器 仍然 对 这 个 TTL 值 减 1， 然 后 ， 如 果 可 能 的 话 ， 将 
这 个 数据 报 转发 到 传输 路 径 上 的 下 一 跳 。 当 数据 报 抵达 第 2 个 路 由 器 ， 
TTL 值 会 再 被 减 去 1， 成 为 0 值 。 


5. 第 2 个 路 由 器 会 像 第 1 个 路 由 器 一 样 ， 抛 弃 掉 这 个 数据 包 ， 并 像 
第 1 个 路 由 器 那样 返回 一 个 ICMP 消 息 。 

6. 该 过 程 会 一 直 持 续 ，traceroute 命 令 不 停 递增 TTL 值 ， 而 传输 路 
径 上 的 路 由 器 不 断 递减 该 值 ， 直 到 数据 报 最 终 抵达 预期 的 目的 地 。 

7. 当 目 的 计算 机 接收 到 ICMP Echo 消息 时 ， 会 回 传 一 个 ICMP 
Echo Reply 消 息 。 

除了 能 定位 传输 信息 穿越 过 的 路 由 器 或 网 关 之 外 ，traceroute 命 令 
还 能 记录 数据 报 抵 达 每 个 路 由 器 的 往返 时 间 。 根 据 实 现 情况 ， 
traceroute 命令 实际 上 可 能 会 给 每 个 路 由 器 发 送 多 个 单独 的 Echo 消息 。 
例如 ， 在 Windows 系 统 运行 的 版 本 (tracert) 中 ， 会 给 每 个 路 由 器 发 送 
两 个 额外 的 Echo 消息 ， 这 样 可 以 更 精确 地 判断 数据 报 的 往返 时 间 。 

但 是 不 能 根据 该 往返 时 间 精 确 判断 网 络 性 能 ， 因 为 许多 路 由 器 会 
分 配 更 多 的 时 间 处 理 更 重要 的 数据 报 ， 对 ICMP 流 量 只 给 予 较 低 的 处 理 
优先 权 。 

traceroute 命 令 的 语法 ， 就 是 在 traceroute 后 面 加 上 一 个 了 地 址 、 
DNS 名 称 或 者 是 URL : 

traceroute 198.137.240. 91 

traceroute www.whitehouse.gov 

tracert yahoo.com (在 Windows 系 统 上 ) 

traceroute 和 tracert 命 令 在 显示 数据 报 传输 路 径 方 面 很 有 用 ， 并 具 
有 一 定 的 诊断 能 力 。 


14.5.2 route 


第 8 章 讲 到 ， 每 台 计 算 机 和 每 台 路 由 器 都 包含 一 张 路 由 表 。 绝 大 多 
数 路 由 器 均 使 用 专门 的 路 由 协议 来 交换 路 由 信息 ， 并 动态 地 定期 更 新 
这 些 路 由 表 。 不 过 ， 还 是 有 许多 时 候 需 要 我 们 手动 在 路 由 器 和 主机 路 
由 表 中 添加 记录 。 

route 命 令 在 TCP/IP 网 络 中 有 许多 用 途 : 在 数据 包 没 有 有 效 传递 的 
情况 下 ， 可 以 利用 route 命 令 显示 路 由 表 ; 如 果 traceroute 命 令 揭示 出 一 
条 异常 或 低 效 率 的 传输 路 径 ， 则 可 以 使 用 route 命 令 来 确认 为 何 选择 该 
路 径 ， 而 且 可 以 配置 一 个 更 有 效 的 路 由 。 

route 命 令 也 可 以 被 用 来 手动 添加 、 删 除 和 修改 路 由 表 中 的 条 目 ， 
其 选项 如 下 所 示 。 

route print: route 命 令 的 这 个 形式 会 显示 路 由 表 中 的 当前 条 
目 。 图 14.4 中 显示 的 是 route print 命 令 的 输出 示例 。 可 以 看 到 ， 一 些 
目 涉及 了 不 同 网 络 ， 比 如 0.0.0.0、127.0.0.0 和 192.59.66.0; 一 些 条 目 用 
于 广播 (255.255.255.255 和 192.59.66.255) ; 还 有 一 些 用 于 多 播 
(224.0.0.0) 。 作 为 为 网 络 适 配器 配置 IP 地 址 的 结果 ， 所 有 这 些 条 目 
都 是 被 自动 添加 的 。 


些 条 


C. route print 


Active Routes 


Network Address 
0.0.0.0 
127.0.0.0 
192.59.66.60 
192.59.66.200 
192.59.66.255 


E:\> 


Netmack Gateway Address 


0.0.0.0 
255.0.0.0 
255.255.255.0 


255.255.255.255 
255.255.255.255 


224.0.0.0 224.0.0.0 
255.255.255.255 255.255.255.255 


E] 14.4 route Print 命 


Interface Metric 
1 


1 
1 
1 
1 
1 
1 


192.59,66.1 192.59.66.200 
127.0.0.1 127.0.0.1 
192.59.66.200 192.59.66.200 
127.0.0.1 127.0.0.1 
192.59.66.200 192.59.66.200 
132.59.66.200 192.59.66.200 
192.59.66.200 192.59.66.200 
令 显 示 路 由 表 中 的 当前 信息 


> route add: 使 用 route 命 令 的 这 个 形式 ， 可 以 向 路 由 表 添 加 一 
个 新 的 路 由 条 目 。 例 如 ， 要 想 指定 一 个 去 往 5 个 路 由 器 跳 数 之 外 的 目的 
网 络 207.34.17.0 的 路 由 ， 而 且 首 先 会 经 过 一 台 在 本 地 网 络 上 的 IP 地 址 
为 192.59.66.5 和 子 网 掩 码 为 255.255.255.224 的 路 由 器 ， 那 么 可 以 输入 如 


下 命令 : 


route add 207.34.17.0 mask 255.255.255.224 192.59.66.5 metric 5 


注意 : 


Rel ma Ast BYES EA 


由 这 种 方式 添加 的 路 由 信息 是 暂时 的 ， 一 旦 计算 机 或 路 由 器 重新 


启动 ， 这 些 信息 就 会 


消失 。 通 常 在 启动 脚本 中 会 有 一 系列 route add 命 


这 样 每 次 计算 机 或 路 由 器 启动 时 相应 信息 就 会 被 再 次 应 用 。 
可 以 使 用 这 个 语法 在 路 由 表 中 修改 条 目 。 下 面 
的 示例 是 将 数据 的 传输 路 径 修改 到 另 一 台 路 由 器 ， 该 路 由 器 到 目的 距 


>” route change: 


离 有 3 跳 : 


route change 207.34.17.0 mask 255.255.255.224 192.59.66.7 metric 3 
> route delete: 使 用 这 个 命令 语法 可 以 在 路 由 表 中 删除 一 个 条 


route delete 207.34.17.00 


14.5.3 netstat 


netstat 工 具 可 用 于 显示 与 IP、TCP、UDP 和 ICMP 协 议 相关 的 统计 
数据 。 这 些 统计 数据 展示 了 诸如 发 送 的 数据 报 、 接 收 的 数据 报 和 各 种 
发 生 过 的 错误 信息 的 数量 。 

如 果 在 接收 数据 报时 偶尔 出 现 报错 、 丢 弃 或 接收 失败 ， 请 不 必 惊 
讶 。TCP/IP 协 议 可 以 允许 这 些 类 型 的 错误 ， 并 会 自动 重 发 数据 报 。 当 
数据 报 被 传递 到 错误 位 置 时 将 被 抛弃 ， 如 果 你 的 计算 机 被 作为 路 由 
器 ， 那 么 当 某 数据 报 的 TTL 值 成 为 0 时 ， 也 会 将 其 抛弃 。 产 生 重 组 失败 
的 情况 是 : 在 已 收 到 分 组 中 的 TTL 值 限定 的 时 段 内 ， 分 组 没有 全 部 抵 
达 。 就 像 报错 和 数据 报 抛弃 一 样 ， 我 们 也 不 必 过 分 关注 偶尔 出 现 的 数 
据 报 重 组 失败 。 但 是 在 上 述 3 种 情况 中 ， 如 果 累 计 的 出 错 情况 次 数 占 到 
所 接收 的 IP 数 据 报 相当 大 的 比例 ， 或 者 出 错 数 量 正 迅 速 增 大 ， 那 么 我 
们 就 应 该 检查 亦 喜 爱 为 什么 会 出 现 这 些 情况 了 。 

下 面 介绍 netstat 命 令 的 各 种 选项 。 

> netstat -s: 这 个 选项 能 够 按照 各 个 协议 分 别 显示 统计 信息 。 如 
果 用 户 应 用 程序 (比如 Web 浏 览 器 ) 看 起 来 异常 缓慢 或 者 无 法 显示 网 
页 之 类 的 数据 ， 那 么 你 可 能 会 使 用 这 个 选项 来 查看 所 显示 的 信息 。 可 
以 查看 统计 信息 行 ， 寻 找 error、discard 或 failure 这 样 的 单词 。 如 果 这 些 
行 中 的 计数 明显 与 所 接收 的 IP 数 据 包 有 关 ， 则 需要 展开 进一步 的 检 
Mo 

> netstat -e: 使 用 这 个 选项 查看 关于 以 太 网 的 统计 数据 。 其 中 列 
出 的 条 目 包 括 总 字 节 数 、 错 误 数 、 抛 弃 数 、 定 向 数据 报 的 数量 和 广播 
数量 等 。 这 些 统计 数据 既 有 发 送 的 数据 报 数量 ， 又 有 接收 到 的 数据 报 
数量 。 

> netstat -r: 这 个 选项 用 于 显示 路 由 表 人 信息， 其 显示 类 似 于 我 们 
之 前 学 到 过 的 routeprint 命 令 。 除 了 显示 活动 的 路 由 器 外 ， 还 可 以 显示 


当前 活动 的 连接 。 
> netstat -a: 这 个 选项 用 于 查看 所 有 活动 连接 ， 包 括 已 建立 的 连 
接 和 那些 正在 监听 连接 请 求 的 连接 。 
下 列 3 个 选项 可 以 提供 netstat -a 命 令 输出 结果 的 子 集 信 息 。 
> netstat -n: 这 个 选项 显示 所 有 已 建立 的 活动 的 连接 。 
> netstat -p TCP: 这 个 选项 显示 已 建立 的 TCP 连 接 。 
> netstat -p UDP: 这 个 选项 显示 已 建立 的 UDP 连 接 。 
14.5 所 示 为 netstat -s 命 令 所 显示 的 统计 信息 。 


= Command Prompt 


:\>netstat -s 
IP Statistics 


Packets Received 

Received Header Errors 

Received Address Errors 
Datagrams Forwarded 

Unknown Protocols Received 
Received Packets Discarded 
Received Packets Delivered 
Output Requests 

Routing Discards 

Discarded Output Packets 

Output Packet No Route 
Reassembly Required 

Reassembly Successful 
Reassembly Failures 

Datagrams Successfully Fragmented 
Datagrams Failing Fragmentation 
Fragments Created 


ICMP Statistics 


4 


0000909009097 U00000u 


回回 ES 


N 
o 


in 
20 


图 14.5 netstat 命令 显示 各 个 协议 的 统计 信息 


14.5.4 nbtstat 


在 第 10 章 讲 到 ，NetBIOS 是 许多 早期 Windows 网 络 中 使 用 的 名 
称 解 析 系 统 。nbtstat (NetBIOS over TCP/IP statistics) 工具 用 于 查看 
在 TCP/IP 协 议 之 上 运行 NetBIOS 服 务 的 统计 信息 ， 并 可 以 查看 本 地 或 
远程 计算 机 上 的 NetBIOS 名 称 列表 。 
下 面 介绍 的 命令 选项 用 于 本 地 计算 机 。 
> nbtstat -r: 该 命令 可 以 清除 并 重 载 NetBIOS 名 称 缓存 。 这 样 做 
是 为 了 载 入 LMHosts 文 件 中 最 近 添 加 的 记录 (LMHosts 条 目 在 第 10 章 
中 有 讲解 ) o 
> nbtstat -n: 该 命令 显示 在 本 地 计算 机 上 注册 的 名 称 和 服务 。 
> nbtstat -c: 该 命令 显示 NetBIOS 名 称 缓存 中 的 内 容 。NetBIOS 
名 称 缓存 储存 着 当前 正在 与 之 通信 的 计算 机 的 NetBIOS 名 称 与 IP 地 址 
对 。 
> nbtstat -r: 该 命令 显示 其 他 计算 机 在 本 地 注册 和 解析 名 称 的 数 
量 ， 以 及 是 否 通 过 广播 或 名 称 服务 器 进行 过 注册 和 解析 。 
图 14.6 为 nbtstat 命 令 的 输出 实例 。 
nbtstat 命 令 也 可 以 用 来 查看 远程 计算 机 的 NetBIOS 名 称 缓存 ， 其 输 
出 类 似 于 在 本 地 计算 机 上 执行 nbtstat -n 命 令 。 
> nbtstat -A <IP 地 址 >: 显示 该 IP 地 址 引用 的 计算 机 的 名 称 列表 
(其 中 包含 该 计算 机 的 物理 地 址 ) 。 
> nbtstat -a <NetBIOS 名 称 >: 显示 该 NetBIOS 名 称 引 用 的 计算 机 
的 名 称 列表 (其 中 包含 该 计算 机 的 物理 地 址 ) o 
同 理 ， 另 两 个 nbtstat 命 令 选项 可 以 查看 远程 计算 机 开启 的 NetBIOS 
连接 列表 ， 这 个 列表 被 称 为 连接 列表 : 
> nbtstat -S <IP 地 址 >: 显示 该 PP 地址 引用 的 计算 机 的 NetBIOS 
连接 列表 。 


> nbtstat -s <NetBIOS 名 称 >: 显示 该 NetBIOS 名 称 引 用 的 计算 机 
的 NetBIOS 会 话 列表 。 


5 Command Prompt 


:\>nbtstat -n 
ode IpAddress: [192.59.66.200] Scope Id: [] 


NetBIOS Local Name Table 


<00> UNIQUE Registered 
<20> UNIQUE Registered 
<00> GROUP Registered 


<03> UNIQUE Registered 
<1E> GROUP Registered 
<1C> GROUP Registered 

UNIQUE Registered 


:\>nbtstat -R 


uccessful purge and preload of the NBT Remote Cache Name Table. 


:\> 


图 14.6 nbtstat 命 令 以 及 响应 


14.5.5 协议 


被 称 为 协议 分 析 器 或 数据 包 噢 探 器 的 工具 可 以 从 网 络 中 捕捉 数据 
并 储存 在 缓冲 区 或 文件 中 。 捕 获 到 这 些 数据 后 ， 就 可 以 逐一 查看 每 帧 
或 每 个 数据 报 的 内 容 。 在 处 理 网 络 流量 这 类 微妙 的 问题 中 ， 协 议 分 析 
器 非常 有 用 。 利 用 协议 分 析 器 还 可 以 寻找 可 能 来 自 故 障 设备 的 错误 数 
据 源 ， 或 根据 物理 地 址 跟踪 一 个 以 太 网 数据 帧 ， 或 通过 分 析 来 自 各 个 
协议 层 的 报头 信息 来 寻找 线索 。 

图 14.7 所 示 为 10 个 段 数据 报 序列 。 这 些 数据 报 都 是 由 执行 ping 命 令 
而 产生 的 。 窗 口上 半 部 分 显示 的 10 个 数据 报 是 由 一 个 ARP 请 求 和 一 个 
ARP 响 应 产生 的 ， 并 且 后 面 还 跟随 4 个 ICMP 请 求 /响应 对 。 窗 口中 间 对 
ICMP 报 头 进行 了 解码 ， 在 下 方 可 以 看 到 数据 报 中 32 个 字 节 的 数据 。 数 
据 部 分 包含 完整 的 字母 表 (按照 字母 顺序 排序 ) ， 总 共有 32 个 字 节 。 
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图 14.7 查看 执行 ping 命 令 后 的 流量 


协议 分 析 器 网 络 专业 人 员 使 用 一 款 相 当 复 杂 的 工具 。 在 图 14.7 中 
可 以 看 到 ， 它 要 比 本 站 介绍 的 命令 行 工具 更 为 详细 ， 而 且 它 在 网 络 排 
错 方 面 发 挥 了 重要 的 作用 ， 因 此 有 必要 在 本 章 进行 提 及 。Microsoft 的 
Network Monitor (网 络 监视 器 ) 是 一 款 适 用 于 Windows 系 统 的 协议 分 
析 器 。UNIX 和 Linux 用 户 可 以 使 用 其 他 选项 ， 比 如 Wireshark 和 
tcpdumpo 


14.6 小 结 


TCP/P 的 连通 性 工具 组 可 以 帮助 用 户 配置 和 对 网 络 连接 进行 排 
错 。 每 种 工具 只 显示 了 少量 信息 ， 但 是 ， 知 道 如 何 应 用 这 些 工 具 的 用 
户 可 以 快速 查找 到 问题 源 点 ， 并 预防 潜在 的 问题 。 本 章 还 讲解 了 由 协 
议 故 障 和 错误 配置 、 链 路 问题 、 名 称 解析 故障 ， 以 及 过 量 的 流量 等 引 
起 的 连通 性 问题 ， 并 讨论 了 如 何 使 用 ping、ifconfig、ipconfig 和 arp 这 
样 的 工具 来 解决 这 些 问 题 。 本 章 还 讲解 了 一 些 用 来 对 网 络 性 能 问题 进 
行 诊断 的 工具 ， 其 中 包括 traceroute、tracert、route、netstat、nbtstat 和 
协议 分 析 器 。 

在 这 一 章 中 也 讨论 了 大 量 传输 文件 和 导航 远程 目录 的 TCP/IP 工 
具 。 
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问 : 哪个 工具 可 以 显示 数据 报 的 传输 路 径 ? 

答 : traceroute 工 具 ， 在 Windows 系 统 中 被 称 为 tracerto 

问 : 当 我 在 上 网 时 感觉 到 网 速 很 慢 ， 我 想 看 一 下 是 否 是 因为 网 络 
流量 太 高 而 导致 丢 包 现象 ， 我 应 该 使 用 哪个 工具 呢 ? 

答 : netstato 

问 : 我 想 看 一 下 能 否 连 接 到 地 址 为 192.168.1.18 的 主机 上 ， 我 应 该 
使 用 哪个 工具 ? 

答 : ping。 

Al: 命令 tractroute 显示 了 一 条 去 往 远程 计算 机 的 低 效 路 径 ， 我 
想 查看 一 下 路 由 表 中 的 条 目 ， 以 确定 是 否 存在 问题 ， 我 应 该 使 用 哪个 
工具 ? 


答 : route。 


14.8 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


14.8.1 问题 


1. 当 你 在 上 网 时 ， 突 然 页 面 停止 载 入 ， 你 应 该 先 考 虑 使 用 哪 一 个 
排 错 工具 呢 ? 


2. 可 以 使 用 哪个 命令 来 查看 ARP 缓 存 中 的 内 容 ? 

3. 如 何 查 看 通过 TCP 连 接 的 主机 ? 

4. route 命 令 的 一 些 版 本 没有 用 于 输出 路 由 表 的 选项 。 你 可 以 使 
用 哪些 工具 来 完成 该 功能 ? 

5. 网 络 监视 器 、tcpdume 和 Wireshark 属 于 哪 种 类 型 的 工具 ? 


14.8.2 练习 

在 你 的 计算 机 上 执行 下 列 命令 并 查看 结果 。 

ipconfig /all 或 ifconfig -a (不 是 所 有 的 TCP/IP 栈 都 实现 了 这 些 功 
能 ) 

ping 127.0.0.1 

ping w.x.y.z 《将 w.x.y.z 替 换 为 你 的 计算 机 的 IP 地 址 ) 

ping w.x.y.z 《将 w.x.y.z 替 换 为 男 外 一 台 本 地 计算 机 的 IP 地 址 ) 

ping w.x.y.z 《将 w.x.y.z 替 换 为 你 的 默认 网 关 的 IP 地 址 ) 

ping w.x.y.z 《将 w.x.y.z 替 换 为 一 台 远 程 计 算 机 的 IP 地 址 ) 

ping 本 地 主机 

ping http://www.whitehouse.gov (如 果 您 已 连接 到 Internet 并 且 拥 有 
一 台 DNS 服 务 器 ) 

ping <hostname> (将 hostname 蔡 换 为 你 的 主机 的 实际 名 称 ) 

arp -a 或 arp -g (至 少 有 一 个 可 以 执行 。 等 待 几 分 钟 后 再 行 尝 试 ) 
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复习 下 列 天 键 术语 : 

> arp: 用 于 配置 和 显示 地 址 解析 协议 (ARP) 表 中 内 容 的 工 
具 。 

> 广播 风暴 : 由 网 络 适配器 运行 故障 所 引发 的 过 量 流量 。 

> hostname: 用 于 显示 本 地 主机 名 的 工具 。 

> ifconfig: UNIX/Linux 系 统 中 显示 TCP/IP 配 置信 息 的 工具 。 

> ipconfig: Windows 系 统 中 显示 TCP/IP 配 置信 息 的 工具 。 

> nbtstat: TCP/IP 协 议 中 提供 统计 信息 和 其 他 NetBIOS 诊 断 信息 
的 工具 。 

> netstat: TCP/IP 协 议 中 提供 统计 信息 和 其 他 诊断 信息 的 工具 。 

> ping: 一 种 用 于 检测 与 其 他 主机 连接 状况 的 诊断 程序 。 

> 协议 分 析 器 (或 数据 包 嗅 探 器 ) : 可 以 捕获 和 显示 网 络 数据 包 
内 容 的 一 类 诊断 应 用 程序 或 硬件 设备 。 

> route: 用 于 配置 和 显示 路 由 表 的 工具 。 

> traceroute: 用 于 显示 从 源 计 算 机 到 目的 计算 机 之 间 的 数据 报 
传输 路 径 的 工具 。 

> tracert: Windows 系 统 中 使 用 的 工具 ， 其 功能 等 效 于 


tracerouteo 
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本 章 介 绍 如 下 内 容 : 

> Telnet; 

> Berkeley r* TA; 

> SSH; 

> 远程 控制 | ; 

> 网 络 管理 ; 

> SNMP; 

> RMON» 

网 络 可 以 说 是 为 了 共享 远程 的 资源 而 建立 的 ， 所 以 在 网 络 上 做 的 
几乎 所 有 事情 都 可 以 归结 于 远程 访问 。 传 统 上 的 一 些 TCP/IP 工 具 仍然 
被 划 定 在 远程 访问 工具 类 中 ， 这 些 远程 访问 工具 伴随 着 UNIX 成 长 ,不 
过 其 中 的 不 少 已 经 被 移植 到 其 他 操作 系统 之 中 。 这 些 工 具 赋 予 了 远程 
用 户 一 些 本 地 用 户 才 拥有 的 能 力 。 还 有 一 些 工具 在 多 年 以 来 ， 一 直 帮 
助 网 络 管理 员 通 过 网 络 来 管理 计算 机 和 设备 。 在 本 章 中 ， 将 学 到 
Telnet、 安 全 外 壳 (Secure Shell, SSH) 、 远 程控 制 和 网 络 管理 协议 。 

学 完 本 章 后 ， 你 可 以 : 

> 解释 Telnet 的 用 途 ; 

> 列 出 部 分 Berkeleyr* 工 具 和 这 些 工 具 在 SSH 簇 中 的 后 续 版 本 ; 

> 描述 一 些 常见 的 网 络 管理 协议 。 


15.1 Telnet 


Telnet 是 对 远程 计算 机 进行 类 似 于 终端 访问 的 一 组 套件 。Telnet 一 
度 是 采用 命令 行 来 访问 远程 计算 机 的 最 常见 方式 。 但 是 ， 近 些 年 来 ， 
更 为 安全 的 SSH 协议 (将 在 本 章 后 面 讲 到 ) 已 经 成 为 终端 访问 的 标 
准 。 但 是 ，Telnet 仍然 存在 ， 因 此 任何 TCP/IP 相关 的 图 书 如 果 不 介 绍 
Telnet， 则 称 不 上 是 完整 的 。 

一 个 Telnet 会 话 需要 一 个 Telnet 客 户 端 作为 远程 终端 ， 以 及 一 台 
Telnet 服 务 器 用 于 接收 连接 请 求 并 允许 连接 。 该 关系 如 图 15.1 所 示 。 


Telnet Telnet 


客户 端 服务 器 


Te 
客户 端 


图 15.1 Telnet 客户 端 和 服务 器 


Telnet 同 时 也 是 一 种 协议 ， 一 套 定义 Telnet 服 务 器 与 客户 端 之 间 互 
动 规则 的 系统 。Telnet 协 议 在 一 系列 的 RFC 中 定义 。 由 于 Telnet 是 基于 
定义 良好 的 开放 型 协议 ， 因 此 它 可 以 并 且 已 经 在 硬件 和 软件 系统 中 得 
到 广泛 应 用 。 建 立 Telnet 最 基本 的 用 途 是 为 远程 用 户 提供 一 种 方式 ， 使 
他 键入 的 命令 可 以 通过 网 络 输入 到 另 一 台 计 算 机 中 。 与 会 话 相关 的 输 
出 经 过 网 络 从 那 台 计算 机 (服务 器 ) 传输 到 客户 端 系统 (WE 
15.2) 。 这 就 可 以 使 得 远程 用 户 可 以 同 服务 器 进行 互动 ， 就 如 同 他 登 
录 的 是 本 地 服务 器 那样 。 


Telnet Telnet 
客户 端 服务 器 


来 自 服务 器 的 输 
出 在 客 户 端 显示 


来 自 客户 端 键盘 的 
一 一 输入 发 送 到 服务 器 


15.2 Telnet 的 网 络 输入 和 输出 


在 UNIX 系 统 中 的 命令 提示 符 中 ，Telnet 命 令 用 如 下 方式 使 用 : 

telnet 主机 名 

这 里 的 主机 名 表示 需要 连接 的 计算 机 的 名 称 (也 可 以 使 用 IP 地 址 
RAR) 。 上 面 这 条 命令 将 启动 Telnet 程 序 。 在 Telnet 运 行 时 ， 你 输入 
的 命令 就 会 在 远程 计算 机 上 执行 。Telent 还 提供 了 一 些 特 殊 的 命令 ， 你 
可 以 在 Telnet 会 话 期 间 使 用 。 这 些 命令 如 下 所 示 。 

> close: 此 命令 用 于 关闭 当前 连接 。 

> display: 此 命令 用 于 显示 连接 设置 ， 例 如 端口 或 者 终端 仿真 。 

> environ: 此 命令 用 于 设置 环境 变量 。 环 境 变量 被 操作 系统 用 
来 提供 特定 的 用 户 或 计算 机 信息 。 

> logout: 此 命令 用 于 注销 远程 用 户 并 关闭 连接 。 

> mode: 此 命令 用 于 选择 文件 传输 模式 ，ASCII 的 文件 传输 模式 
适 于 传输 文本 文件 ， 而 二 进 制 的 文件 传输 模式 适 于 传输 其 他 类 型 的 文 
件 ， 例 如 可 执行 文件 或 者 图 片 。 

> open: 此 命令 用 于 连接 到 某 台 远程 计算 机 。 

> quit: 此 命令 用 于 退出 Telnet 程 序 。 


> send: 此 命令 用 于 向 远程 计算 机 发 送 特殊 的 Telnet 协 议 指 令 序 
列 ， 例 如 一 个 终止 指令 序列 、 中 断 指 令 序 列 或 者 文件 结束 指令 序列 。 

set: 此 命令 用 于 对 连接 进行 设置 。 

unset: 此 命令 用 于 取消 设置 的 连接 参数 。 

> ? : 此 命令 用 于 显示 帮助 信息 。 

在 Windows 这 样 的 图 形 界 面 操 作 系统 中 ，Telnet 程 序 可 能 有 它 自 己 
的 图 标 ， 并 在 一 个 窗口 中 运行 ， 但 基本 的 命令 和 进程 同 基于 命令 行 的 
系统 是 一 样 的 。 

注意 : 安全 问题 

Telnet 曾 经 是 极为 有 用 的 工具 ， 但 近年 来 ， 它 逐渐 被 更 安全 的 工具 
所 替代 ,例如 SSH (本 章 后 面 将 讲 到 ) o Telnet 的 一 个 问题 是 ， 它 给 
予 网 络 入 侵 者 他 们 最 想 要 的 东西 一 一 对 远程 服务 器 上 某 个 终端 对 话 的 
直接 访问 权 ， 而 且 ， 尽 管 Telnet 标 准 支 持 密 码 验 证 ， 但 这 些 密码 往往 是 
以 纯 文本 方式 传输 的 。 


15.2 Berkeley 远 程 工具 


Berkeley 系 统 设 计 (BSD) 的 UNIX 系 统 实现 (被 称 为 BSD 
UNIX) ， 是 UNIX 发 展 的 重要 一 步 。 许 多 始 于 BSD UNIX 的 创新 ， 目 
前 是 其 他 UNIX 系 统 上 的 标准 配置 ， 并 上 且 已 经 被 纳入 到 TCP/IP 和 
Internet 世 界 中 的 其 他 操作 系统 里 。 

BSD UNIX 的 一 项 创新 是 一 组 用 来 提供 远程 访问 的 命令 行 工具 。 
由 于 这 一 组 工具 的 名 称 都 以 一 个 代表 “远程 ”的 首 字母 + 开头， 所 以 这 组 
工具 被 称 为 Berkeley 远 程 工具 。 尽 管 与 Telnet 相 似 ， 这 些 工具 在 当前 的 
安全 环境 下 显得 有 些 不 合 时宜 ， 但 是 UNIX、Linux 和 Windows 系 统 仍 
然 提供 有 不 同 版 本 的 Berkeley 远 程 工具 。 幸 运 的 是 ， 下 一 节 将 讲 到 ， 
许多 远程 工具 在 SSH 协 议 簇 中 以 更 安全 的 形式 出 现 。 

以 下 是 一 些 Berkeley 远 程 工具 。 

> Rlogin: 允许 用 户 远程 登录 。 

> Rep: 用 于 远程 文件 传输 。 

> Rsh: 通过 rshd 后 台 程 序 执行 一 条 远程 命令 。 

> Rexec: 通过 rexecd 后 台 程 序 执行 一 条 远程 命令 。 

Ruptime: 显示 有 关 正 常 运行 时 间 和 连接 用 户 数量 的 信息 。 

> Rwho: 显示 当前 连接 用 户 的 信息 。 

Berkeley 远 程 工具 设计 于 TCP/IP 网 络 的 早期 ， 创 建 这 些 工 具 的 人 
预期 只 有 受信 任 的 用 户 才能 使 用 这 些 工 具 。 如 今 ， 许 多 管理 员 都 否认 
存在 “受信 任 * 用 户 。 在 当今 开放 和 互联 的 网 络 环 境 中 ， 使 用 Berkeley 远 
程 工 具 一 般 被 认为 过 于 冒险 ， 即 使 是 在 内 部 网 络 中 ， 也 必须 在 如 何 和 
何 时 使 用 这 些 工 具 上 持 谨 慎 态 度 。Berkeley 远程 工具 倒是 有 一 个 基本 
的 安全 系统 ， 如 果 执 行 正 确 ， 可 以 在 受 限 和 信任 的 环境 中 提供 某 种 保 
护 措 施 。 


Berkeley 远程 工具 使 用 被 称 为 “受信 访问 ”的 概念 。 受 信访 问 允 许 
一 台 计 算 机 信任 另 一 台 计 算 机 的 身份 验证 。 在 图 15.3 中 ， 若 计算 机 A 指 
定 计算 机 B 为 受信 主机 ， 则 登录 到 计算 机 B 上 的 用 户 可 以 使 用 Berkeley 
远程 工具 访问 计算 机 A， 无 需 提 供 登 录 计 算 机 A 的 密码 。 计 算 机 A 也 可 
以 指定 特定 用 户 为 受信 用 户 。 受 信和 主机 和 受信 用 户 在 当前 用 户 设 法 获 
得 访问 权 的 远程 计算 机 的 /etc/hosts.equiv 文 件 中 识别 。 每 个 用 户主 目录 
中 的 .rhosts 文 件 ， 也 可 被 用 来 把 受信 访问 授予 相应 的 用 户 账户 。 


计算 机 A 
— [7 计算 机 B 认证 的 用 户 
可 以 利用 Berkeley 远 
程 攻击 访问 计算 机 A 


文件 指定 计算 机 
B 为 受信 主机 


图 15.3 UNIX 的 受信 访问 


注意 : 寻找 主机 

由 于 /etc/hosts.equiv 文 件 和 .rhosts 文 件 允 许 访 问 系 统 资源 ， 所 以 它 
们 是 网 络 入 侵 者 的 主要 搜寻 目标 。 这 些 文件 的 脆弱 性 也 是 Berkeley 远 
程 工具 被 认为 不 再 安全 的 原因 之 一 。 

下 面 几 小 节 将 讨论 一 些 Berkeley 远 程 工具 。 


15.2.1 rlogin 


rlogin 是 一 种 远程 登录 工具 。 你 可 以 使 用 rlogin 登录 某 台 正在 运行 
服务 器 后 台 程 序 rlogind (d 代表 后 台 程 序 ) 的 UNIX EN. rlogin 提供 
了 与 Telnet 相同 的 用 途 ， 但 rlogin 的 通用 性 要 差 很 多 。rlogin 只 是 用 于 
提供 对 UNIX 系 统 的 访问 ， 而 Telnet 已 被 TCP/IP 协 议 标准 涵盖 ， 可 以 
有 更 广泛 的 应 用 。 同 时 ，rlogin 也 没有 提供 Telnet 所 具有 的 一 些 配 置 协 
商 特 性 。 

由 于 应 用 Berkeley 远 程 工具 安全 模型 ，rlogin 的 一 个 显著 特性 就 是 
支持 无 需 密码 的 远程 登录 。 无 密码 访问 是 所 有 Berkeley 远 程 工具 的 一 
个 特性 ， 但 相对 于 Berkeley 远 程 工具 提供 的 其 他 功能 ， 一 些 用 户 对 无 
密码 的 终端 会 话 还 是 略 感 不 安 。 尽 管 如 此 ，Berkeley 远程 工具 的 安全 
模型 确实 限制 对 受信 用 户 的 访问 。 

注意 : 另外 一 种 访问 

需要 记 住 的 是 ， 在 用 户 通过 某 种 形式 的 首次 验证 之 后 ， 许 多 网 络 
操作 系统 同样 支持 对 网 络 资源 的 无 密码 访问 。 例 如 ， 第 11 章 描述 的 
Kerberos 身 份 验 证 模式 ， 就 对 UNIX/Linux 以 及 Windows 网 络 上 的 资 
源 ， 提 供 无 密码 访问 。 通 过 应 用 其 他 更 安全 的 方法 ， 现 在 可 以 发 挥 出 
Berkeley 远 程 工具 的 许多 优点 。 

rogin 命 令 的 语法 如 下 所 示 : 

rlogin hostname 

这 里 的 hostname 表 示 你 希望 获得 访问 权限 的 计算 机 的 主机 名 。 如 
果 没 有 指定 用 户 名 ， 则 默认 为 本 机 上 当前 用 户 的 用 户 名 ， 也 可 以 用 下 
列 命令 指定 一 个 用 户 名 : 

rlogin hostname -l username 


这 里 的 username 就 是 你 想 要 用 来 登录 的 用 户 名 。 


接着 ， 服 务 器 后 台 程 序 rlogind 《该 程序 必须 正在 相应 的 服务 器 上 
运行 着 ) 会 检查 hostequiv 和 .rhosts 文 件 ， 来 验证 主机 和 用 户 信息 。 如 
果 验 证 成 功 ， 则 会 开启 远程 会 话 。 


15.2.2 rcp 
rcp 工 具 提 供 远程 文件 访问 功能 。 虽 然 没 有 FTP 的 用 途 广 、 功 能 
多 ， 但 有 时 它 仍然 被 用 来 传输 文件 。 


15.2.3 rsh 


rh 工具 允许 用 户 在 不 需要 登录 远程 计算 机 的 情况 下 ， 就 能 在 远程 
计算 机 上 执行 单条 命令 。rsh 是 远程 外 壳 (remote shell) 的 缩写 Oh 
是 操作 系统 的 一 种 命令 接口 ) 。 运 行 于 远程 计算 机 上 的 rshd 后 台 程 
序 ， 接 受 rsh 命 令 ， 验 证 用 户 名 和 主机 名 信息 ， 并 执行 该 命令 。 当 用 户 
不 愿 或 不 需要 与 远程 计算 机 建立 远程 会 话 时 ， 可 以 使 用 rsh 工 具 执行 输 
入 的 命令 。 

rsh 命 令 的 格式 如 下 : 

rsh -] username hostname command 

这 里 的 hostname 表 示 远 程 计算 机 的 主机 名 ，username 表 示 访 问 远 
程 计算 机 时 使 用 的 用 户 名 ，command 表 示 需 要 执行 的 命令 。 

位 于 “-]”* 之 后 的 usermame 是 可 选 的 。 如 果 不 指定 某 个 用 户 名 ， 它 将 
默认 使 用 本 地 主机 上 的 用 户 名 ， 如 下 所 示 : 


rsh hostname command 


15.2.4 rexec 


与 rsh 类 似 ，rexec 也 提供 在 远程 计算 机 中 执行 命令 的 功能 。rexec 
使 用 的 是 rexecd 后 台 程 序 。 

rexec 命 令 的 语法 如 下 所 示 : 

rexec hostname -1 username command 

这 里 的 hostname 表 示 主 机 名 称 ，username 表 示 远 程 计 算 机 上 的 用 
户 账户 名 称 ，command 表 示 要 执行 的 命令 。 若 省 略 -1 username, 
用 户 名 将 默认 为 在 本 地 计算 机 上 的 用 户 名 。 


15.2.5 ruptime 


ruptime 显 示 网 络 上 每 台 计 算 机 的 登录 用 户 数量 ， 同 时 列 出 每 台 计 
算 机 的 上 线 时 间 (因此 有 r-up-time 这 个 名 称 ) ， 以 及 其 他 一 些 系统 信 
息 。 

要 想 生 成 一 份 ruptime 报 告 ， 只 需 输入 如 下 命令 : 

ruptime 

ruptime 和 rwho 都 使 用 rwhod 后 台 程 序 。 实 际 上 ， 每 台 位 于 网 络 
上 的 计算 机 都 有 一 个 rwhod 后 侣 程序 用 于 定期 广播 用 户 的 活动 。 每 个 
rwhod 后 台 程 序 都 接收 和 存储 来 自 其 他 rwhod 后 台 程 序 的 报告 ， 从 而 可 
以 掌握 整个 网 络 的 用 户 活动 。 


15.2.6 rwho 


rwho 用 于 显示 当前 登录 到 网 络 计算 机 上 的 所 有 用 户 ， 可 以 列 出 用 
户 名 、 每 个 用 户 所 登录 的 计算 机 、 登 录 时 间 以 及 已 登录 时 间 。 
rwho 命 令 的 语法 很 简单 : 
rwho 
默认 的 报告 不 包含 终端 处 于 不 活动 状态 的 时 间 在 1 小 时 以 上 的 用 
若 要 显示 包含 所 有 用 户 信息 的 报告 ， 请 使 用 -a 选 项 : 
rwho —a 


和 ruptime 一 样 ，rwho 也 使 用 rwhod 后 台 程 序 。 


E 


15.3 壳 (SSH 


在 本 章 前 面 你 已 经 学 习 到 ， 像 Telnet 和 Berkeley 远 程 工具 这 样 的 经 
典 TCP/IP 远 程 访问 工具 并 不 十 分 安全 。Berkeley 远程 工具 正 快速 消 
K, Tenet 还 在 某 些 特殊 用 途中 被 坚持 使 用 着 ， 例 如 拨号 访问 ， 但 是 
绝 大 多 数 IT 专 业 人 员 不 会 考虑 在 开放 的 Internet 中 使 用 Telnet。 

与 此 同时 ，Internet 演 变 为 更 为 重视 网 络 化 和 远程 访问 。 在 当今 的 
网 络 中 ， 远 程 外 壳 会 话 通常 通过 一 套 协 议和 工具 来 进行 管理 ， 而 这 些 
工具 被 称 为 安全 外 壳 (SSH) 。SSH 相 当 于 只 带 有 公开 密 钥 加 密 的 
Berkeley 远 程 工 具 。SSH 人 套件 的 主要 组 成 部 分 如 下 所 示 。 

> SSH: 用 于 替代 rlogin、rsh 和 Telnet 的 远程 外 过 程序。 

> scp: 用 于 人 替代 rcp 的 文件 传输 工具 。 

> sftp: 用 于 蔡 代 FTP 的 文件 传输 工具 。 

SSH 最 流行 的 实现 是 免费 的 OpenSSH 项 目 ， 在 UNIX、Linux、 
Windows 和 Mac 中 都 可 使 用 。OpenSSH 由 一 些 管理 密 钥 签名 和 加 密 的 
附加 工具 组 成 ， 服 务 器 端的 SSH 连接 由 sshd 处 理 ，sshd 也 包含 在 
OpenSSH 组 件 中 。 

在 利用 OpenSSH 登 录 到 某 个 远程 系统 (命令 形式 为 ssh 
user@host_name) ， 并 在 提示 符 下 输入 密码 之 后 ， 就 可 以 像 在 本 地 一 
样 执 行 命令 了 。 与 它 的 前 辈 相 比 ，SSH 在 Internet 上 要 安全 得 多 ， 其 内 
置 的 加 密 技术 可 阻止 大 多 数 形式 的 网 络 监视 和 欺骗 。 许 多 防火 墙 支 持 
通过 SSH 连 接 从 外 部 访问 内 部 网 络 ， 这 样 一 来 ， 网 络 管理 员 就 可 以 穿 
越 Internet 使 用 SSH 来 登录 内 部 网 络 了 。 

除了 提供 安全 的 远程 外 壳 连 接 ，SSH 还 支持 某 种 形式 的 端口 转 
发 ， 从 而 使 其 他 无 安全 防护 措施 的 应 用 程序 可 以 通过 基于 SSH 的 加 密 
连接 安全 地 执行 。 

注意 : 需要 一 个 服务 器 


如 果 你 喜欢 尝试 ， 请 记 住 ，SSH 是 一 个 客户 端 /服务 器 应 用 程序 。 
大 多 数 现代 的 计算 机 系统 都 带 有 SSH 客 户 端 工具 ， 但 是 当 SSH 服 务 没 
有 在 远程 计算 机 上 运行 时 ， 将 无 法 连接 到 该 计算 机 。 如 果 服 务 已 经 运 
行 ， 你 还 需要 必要 的 登录 凭证 。 


15.4 YU | 


许多 系统 管理 员 和 高 级 用 户 都 更 喜欢 通过 命令 外 壳 进 行 操作 ， 在 
那里 ， 一 行文 本 整洁 地 对 应 一 个 响应 。 通 过 使 用 Telnet 和 相似 的 工具 ， 
命令 外 壳 还 很 容 扩 展 至 远程 执行 环境 。 但 是 ， 绝 大 多 数 用 户 已 不 再 在 
这 种 外 壳 提 示 符 下 操作 了 ， 他 们 喜欢 用 鼠标 在 图 形 用 户 界 面 中 点 击 进 
行 操作 。 

大 量 的 远程 访问 协议 和 工具 可 以 让 用 户 通 过 使 用 带 有 键盘 和 鼠标 
的 普通 图 形 桌 面 操 作 ， 来 控制 远程 系统 。 通 过 图 形 用 户 界 面 提 供 远 程 
访问 似乎 更 复杂 一 些 ， 但 原理 是 相同 的 〈 见 图 15.4) 。 在 计算 机 A 的 应 
用 层 上 运行 的 某 个 软件 组 件 截取 键盘 输入 ， 并 通过 TCP/IP 协 议 栈 将 其 
重 定向 至 计算 机 B。 计 算 机 B 的 屏幕 输出 数据 再 被 通过 网 络 发 送 回 计算 
机 A。 结 果 是 计算 机 A 的 鼠标 和 键盘 作为 计算 机 B 的 鼠标 和 键盘 ， 而 计 
算 机 A 的 屏幕 显示 计算 机 B 的 桌面 视图 。 简 而 言 之 ， 位 于 计算 机 A 的 用 
户 可 以 通过 远程 控制 ， 碍 看 和 操作 计算 机 B。 


网 络 
访问 后 


图 15.4 基于 GUI 的 远程 访问 工具 对 键盘 和 鼠标 命令 进行 重 定向 


基于 图 形 用 户 界 面 的 远程 访问 最 初 是 由 第 三 方 软件 工具 应 用 推广 
的 ， 例 如 Symantec 公司 的 pcAnywhere 和 Netopia 公 司 的 Timbuktu。 近 几 
个 版 本 的 Mac 和 Windows 系 统 分 别 通过 Apple 远 程 更 面 和 Windows Vista 
远程 桌面 连接 ， 已 经 将 远程 访问 功能 直接 集成 到 操作 系统 中 。 通 过 X 
Server 图 形 环境 的 基础 架构 ，UNIX/Linux 系 统 也 一 直 拥 有 达成 这 种 功 
能 的 初级 版 本 程序 。 不 过 ， 最 近 像 虚拟 网 络 计算 (Virtual Network 
Computing，VNC) 和 NoMachine 的 NX 这 样 的 工具 ， 使 用 起 来 更 加 方 
便 ， 而 且 可 以 供 终 端 用 户 进 行 远 程 访 问 。 

远程 系统 管理 员 和 IT 服务 台 经 常 使 用 屏幕 共享 工具 ， 对 台式 计算 
机 进行 配置 和 故障 排查 。 


15.5 网 络 管理 


很 多 用 户 很 乐意 通过 在 配置 对 话 框 中 输入 命令 或 进行 单 击 的 方式 
来 连接 到 远程 计算 机 ， 但 是 管理 者 几 十 人 台 甚 至 上 百人 台 计 算 机 的 IT 专家 
却 需要 一 种 更 为 高 效 的 方式 。 网 络 管理 工具 可 以 让 用 户 通过 一 个 用 户 
界面 来 配置 、 监 视 、 管 理 远 程 系统 和 设备 。 而 且 这 些 工具 不 会 等 着 让 
用 户 来 指出 是 否 存在 问题 。 在 远程 系统 上 运行 的 代理 应 用 程序 会 自动 
将 状态 信息 返回 ， 因 此 当 磁 盘 空间 、 资 源 使 用 率 和 网 络 性 能 在 超 于 预 
定义 的 阅 值 时 ， 系 统 会 通过 E-mail 或 文本 消息 来 对 用 户 发 出 警告 。 

如 今 存在 有 多 种 网 络 管理 工具 和 协议 。 许 多 管理 工具 仍然 基于 古 
老 的 简单 网 络 管理 协议 (SNMP) 和 远程 监控 (RMON) 协议 (本章 
后 面 会 讲 到 ) 。 但 是 ， 随 着 像 SNMP 这 样 的 工具 的 开发 ， 分 布 式 管理 
工程 任务 组 (Distributed Management Task Force, DMTF) 这 家 由 多 家 
网 络 硬件 和 软件 公司 支持 的 机 构 ， 公 布 了 诸如 基于 Web 的 企业 管理 
(Web-Based Enterprise Management，WBEM) 和 公用 信息 模型 
(Common Information Model，CIM) 这 样 的 标准 ， 以 提供 更 加 通用 的 
解决 方案 ， 以 便 开 发 人 员 和 硬件 厂商 构建 可 以 与 网 络 管理 工具 进行 通 
信 的 驱动 程序 。Microsoft 的 Windows 管 理 规范 (Windows Management 
Instrumentation, WMI) 和 Red Hat 的 OpenPegasus 系 统 是 wWBEM 的 两 种 
实现 形式 。 


15.6 2 


协议 的 目的 是 促进 通信 ， 而 且 只 要 存在 某 种 具有 与 众 不 同 且 可 定 
义 特 征 的 通信 ， 就 很 可 能 找到 相应 的 一 种 协议 。 简 单 网 络 管理 协议 
(SNMP) 是 一 种 用 于 管理 和 监控 网 络 上 远程 设备 的 协议 。SNMP 可 以 
使 网 络 具备 某 种 能 力 ， 使 得 网 络 管理 员 通 过 一 台 工 作 站 完成 对 计算 
机 、 路 由 器 和 其 他 网 络 设备 的 远程 管理 和 监视 。 

图 15.5 展 示 了 SNMP 架 构 的 主要 组 成 部 分 ， 如 下 所 示 。 


监视 器 


图 15.5 一 个 SNMP 社区 包含 多 个 一 个 或 多 个 网 络 监视 器 和 一 个 节点 集 


> 网 络 监视 器 : 一 个 管理 控制 台 ， 有 时 被 称 为 管理 器 或 网 络 管理 
控制 台 (Network Management Console, NMS) ， 它 为 管理 网 络 上 的 
设备 提供 了 一 个 中 央 位 置 。 网 络 监视 器 通常 是 一 台 带 有 必要 SNMP 管 
理 软 件 的 普通 计算 机 。 

> DR: 网 络 上 的 设备 。 

> 社区 : 同一 个 管理 框架 下 的 一 组 节点 。 

在 本 书 其 他 地 方 我 们 了 解 到 ， 一 个 协议 提供 一 种 通信 计划 ， 但 实 
际 的 交互 是 发 生 在 运行 于 网 络 设备 上 的 应 用 程序 之 间 。 以 SNMP 为 
例 ， 被 称 为 代理 的 程序 运行 于 远程 节点 ， 它 与 运行 于 网 络 监视 器 上 的 
管理 软件 进行 通信 ( 见 图 15.6) o 


变更 请 求 


远程 节点 


ii BL A 


图 15.6 远程 节点 上 运行 的 代理 程序 向 网 络 监视 器 发 送 所 在 节点 的 信 
息 ， 并 接收 更 改 配 置 设置 的 请 求 


监视 器 和 代理 使 用 SNMP 协 议 进 行 通 信 。SNMP 使 用 UDP 的 161 和 
162 端 口 。SNMP 的 早期 版 本 不 要 求 任 何 形式 的 用 户 登录 安全 措施 。 其 
安全 性 由 被 称 为 社区 字符 串 的 社区 名 称 提 供 ， 只 有 知道 社区 字符 串 才 
能 连接 。 在 某 些 情况 下 ， 也 可 以 配置 代理 ， 使 其 只 从 指定 的 IP 地 址 接 
收 数据 。 但 是 从 现代 标准 考虑 ， 这 类 安全 措施 很 薄弱 。SNMP 的 最 新 
版 本 (SNMP v3) 解决 了 这 些 问题 ， 它 为 系统 提供 验证 、 隐 私 和 更 好 
的 整体 安全 措施 。 

你 可 能 想 知道 监视 器 和 代理 之 间 通 信和 的 内 容 ， 即 监视 器 和 代理 通 
过 SNMP 在 传递 些 什么 数据 ? 下 一 小 节 中 我 们 可 以 学 习 到 ，SNMP 定 义 
了 一 个 大 型 的 管理 参数 集 。 网 络 监视 器 使 用 这 个 管理 信息 库 
(Management Information Base, MIB) 的 参数 来 向 代理 请 求 信息 和 更 
改 配置 设置 。 


15.6.1 SNMP 地 址 空间 


监视 器 和 代理 软件 能 够 交换 MIB 中 可 寻 址 的 特定 位 置信 息 ， 其 前 
提 是 运行 SNMP 进 程 。 如 图 15.7 所 示 ，MIB 使 得 监视 器 和 代理 软件 能 准 
确 明 白地 交换 信息 。 监 视 器 和 代理 必须 使 用 相同 的 MIB 结 构 ， 因 为 它 
们 必须 要 能 识别 出 信息 的 每 一 个 单元 。 

MIB 是 一 种 分 级 的 地 址 空间 ， 包 括 每 个 信息 段 的 唯一 地 址 。 需 要 
注意 的 是 ，MIB 地 址 与 网 络 地 址 不 同 ， 因 为 MIB 地 址 并 不 代表 一 个 位 
置 或 者 一 台 实 际 设备 。 参 数 集合 分 级 排列 于 一 个 地 址 空间 就 构成 了 
MIB， 这 种 分 级 排列 保证 了 所 有 SNMP 设 备 都 可 用 相同 的 方式 引用 特 
定 的 设置 。 这 种 做 法 同样 利于 进行 权力 下 放 ， 例 如 ， 某 特定 供应 商 能 
够 定义 MIB 设置 (通常 简称 为 MIB) 并 用 于 该 供应 商 的 产品 中 ， 或 是 
使 某 个 标准 组 织 能 够 管理 MIB 树 的 一 部 分 ， 使 其 专门 对 应 其 标准 。 
MIB 使 用 虚线 符号 标示 每 个 唯一 的 MIB 对 象 地 址 。 


root (unnamed) 


ccitt (0) iso (1) ccitt-iso (2) 
org (3) 
dod (6) 
internet (1) 
directory (1) mgmt (2) experimental (3) private (4) 
mib (1) enterprises (1) 
system (1) interfaces (2) at(3) ip(4) icmp(5) top (6) edp(7) egp (8) ...rmon (16) microsoft (311) 
ipForwarding (1) ipDefaultTTL (2).. statistics (1) history (2) alarm (3) hosts (3) ...rmonConformance (20) 


图 15.7 MIB 的 部 分 结构 图 


注意 : MIB 

多 个 RFC 中 均 已 描述 过 MIB， 包 括 RFC 1158 和 RFC 1213。 在 RFC 
1157 中 ， 可 以 找到 SNMP 的 官方 描述 。SNMP 的 最 新 版 本 (SNMP v3) 
在 RFC 2570 和 其 他 一 些 RFC 中 有 描述 。 

MIB 中 的 大 多 数 可 寻 址 位 置 都 引用 计数 器 (计数 器 显然 是 某 种 数 
字 ) 。 15.7 中 的 ipForwarding (就 是 一 个 计数 器 。 图 中 没有 显示 出 
来 的 ipInReceives 也 是 一 个 计数 器 ， 每 次 网 络 软件 启动 或 计数 器 重 置 ， 
ipInReceives 就 会 开始 计数 接收 到 的 入 站 IP 数 据 报 量 。 

MIB 信 息 可 以 是 下 列 任意 的 形式 : 数字 、 文 本 和 IP 地 址 等 。MIB 
配置 信息 的 另 一 个 实例 是 ipDefaultTTL。ipDefaultTTL 设置 TTL 参数 
(该 参数 插入 至 o IP 数 据 报 中 ) 。 

在 MIB 结 构 中 ， 寻 址 永远 起 始 于 根部 ， 并 逐 级 向 上 定位 ， 直 到 找 
到 需要 的 设置 。 例 如 ， 要 定位 ipDefaultTTL 和 ipInReceives MIB, 


SNMP 监 视 器 会 向 SNMP 代 理发 送 下 面 的 MIB 地 址 : 
.iso.org.dod.internet.mgmt.mib.ip.ipDefaultTTL 
.iso.org.dod.internet.mgmt.mib.ip.ipInReceives 
MIB 树 的 每 个 位 置 也 拥有 其 数字 地 址 ， 可 以 通过 其 字母 数字 字符 

串 或 其 数字 地 址 来 引用 一 个 MIB。 在 网 络 监 视 器 从 代理 软件 接收 到 碍 

询 信息 后 ， 实 际 中 会 使 用 下 列 数 字 表 示 MIB 地 址 : 

.1.3.6.1.2.1.4.2 

.1.3.6.1.2.1.4.3 

MIB 地 址 使 用 统一 的 命名 方式 ， 确 保 监 视 器 和 代理 能 够 可 靠 地 5 引 
用 特定 的 参数 。 这 些 MIB 参 数 包 含 在 命令 中 ， 这 些 内 容 将 在 下 一 节 讲 
述 。 


15.6.2 SNMP 命 令 


网 络 监视 器 代理 软件 响应 3 类 命令 : get、getnext 和 set。 这 些 命 令 
执行 如 下 功能 。 

> get: get 命 令 指 示 代 理 软件 读 出 并 返回 指定 的 MIB 信 息 单元 。 

> getnext! getnext 命 令 指示 代理 软件 读 出 并 返回 下 一 个 MIB 信 息 
单元 。 例 如 ， 可 使 用 该 命令 读 出 一 个 数据 表 的 内 容 。 

> set: set 命 令 指 示 代 理 软 件 设置 一 个 可 配置 的 参数 或 重 置 一 个 
对 象 ， 例 如 某 个 网 络 接口 或 某 个 特定 的 计数 器 。 

根据 网 络 管理 人 员 的 实际 需要 ，SNMP 软 件 可 使 用 多 种 不 同方 式 
进行 工作 。 下 面具 体 描述 不 同类 型 的 SNMP 行 为 。 

> 网 络 监视 器 代理 软件 一 直 以 查询 /响应 方式 运行 ， 即 从 某 人 台 网 
络 监视 器 接收 请 求 并 向 其 发 送 响 应 。 代 理 软 件 接 收 get 或 getnext 命 令 ， 
然后 返回 来 自 可 某 寻 址 位 置 的 信息 。 

> 虽然 只 是 可 选 方式 ， 代 理 软 件 经 常 配 置 为 在 发 生 非 正常 事件 时 
向 网 络 监视 器 发 送 主动 (unsolicited) 消息 。 这 些 主动 消息 被 称 为 “ 陷 
阱 消息 ?或 “陷阱 ?>; 当代 理 软 件 捕获 到 某 些 不 正常 情况 时 就 会 产生 这 些 
消息 。 

> 例如 ，SNMP 代 理 软 件 通常 的 运行 模式 是 监视 预先 定义 的 阅 值 
是 否 被 超出 。 这 些 阅 值 是 由 se 命令 建立 的 。 当 阅 值 被 超出 时 ， 代 理 
软件 会 捕获 到 这 个 事件 ， 然 后 生成 并 向 网 络 监视 器 发 送 一 条 主动 消 
息 ， 用 于 识别 捕获 现场 的 了 P 地 址 ， 同 时 也 通报 被 超出 的 是 哪个 阅 值 。 

> 代理 软件 也 可 以 通过 从 监视 器 接收 请 求 来 执行 某 些 动作 ， 例 如 
重 置 路 由 器 上 的 特定 端口 ， 或 者 配置 阅 值 等 级 ， 这 些 阐 值 是 用 于 捕获 
事件 的 。 同 样 ，set 命 令 用 于 设置 可 配置 的 参数 或 重 置 计数 器 或 接口 。 

下 列 的 实例 说 明 使 用 SNMP 的 查询 和 响应 命令 ， 该 实例 使 用 了 名 
为 snmputil 的 诊断 工具 ， 这 种 工具 允许 进行 模拟 监控 。 通 过 这 个 工具 ， 


操作 员 可 以 给 代理 软件 发 送 命令 。 在 本 例 中 ， 代 理 软件 运行 于 IP 地 址 
为 192.59.66.200 的 计算 机 上 ， 并 且 是 名 为 public 的 社区 成 员 。 注 意 ， 位 
于 前 面 两 个 命令 末尾 的 是 .0， 当 读 取 简单 变量 时 (例如 计数 器 ) 会 使 
用 这 种 后 绥 。 

D:\>snmputil get 192.59.66.200 public .1.3.6.1.2.1.4.2.0 

Variable = ip.ipDefaultTTL.O 

Value = INTEGER - 128 

D:\>snmputil getnext 192.59.66.200 public .1.3.6.1.2.1.4.2.0 

Variable = ip.ipInReceives.0 

Value = Counter — 11898 

ER: 更 改名 称 

许多 SNMP 系 统 上 的 默认 社区 名 称 都 是 public。 在 这 个 示例 中 ， 管 
理 员 应 该 把 该 名 称 改 为 其 他 名 称 。 如 果 使 用 默认 名 称 ， 就 会 给 攻击 者 
一 个 民 好 的 开端 。 

SNMP 对 网 络 管理 员 来 说 非常 有 用 ， 但 其 实 它 并 不 完美 ， 下 面 列 
出 SNMP 的 一 些 缺 点 。 

> 无 法 查看 网 络 低层 : SNMP 位 于 UDP 上 面 的 应 用 层 中 ， 所 以 无 
法 查看 协议 栈 内 最 底层 发 生 的 事件 ， 例 如 网 络 访问 层 上 发 生 的 事件 。 

> 需要 一 个 可 运行 的 协议 栈 : SNMP 监 视 器 和 代理 软件 进行 通 
信 ， 需 要 一 个 完全 可 运行 的 TCP/IP 栈 。 如 果 出 现 了 使 得 该 协议 栈 无 法 
正确 工作 的 网 络 问题 ， 那 么 SNMP 就 无 能 为 力 了 。 

> 会 产生 很 大 的 网 络 流量 : SNMP 使 用 的 查询 响应 机 制造 成 了 大 
量 的 网 络 流量 。 尽 管 在 重要 事件 发 生 时 会 发 送 主动 陷阱 消息 ， 但 实际 
上 ， 当 网 络 监视 器 向 代理 软件 查询 特定 信息 时 ， 会 产生 恒定 大 小 的 网 
络 流 量 。 

> 提供 的 数据 量 过 多 而 有 用 信息 过 少 : MIB 包 含 着 数 以 千 计 的 地 
址 位 置 ， 可 以 检索 到 许多 小 片 的 信息 。 但 是 ， 只 有 通过 强大 的 管理 控 


制 台 来 分 析 这 些微 小 的 细节 ， 才 能 成 功 地 分 析出 特定 设备 中 发 生 的 故 
障 。 

> 只 提供 设备 视图 而 没有 提供 网 络 视图 : 使 用 SNMP 只 能 得 到 特 
定 设备 的 信息 ， 而 不 能 使 我 们 直接 了 解 网 段 的 事件 情况 。 


15.7 远程 监控 


远程 监控 (RMON) 是 MIB 地 址 空间 的 扩展 ， 可 以 用 于 远程 局 域 
网 的 监控 和 维护 。SNMP 提 供 单 台 计 算 机 的 信息 检索 ， 与 之 不 同 的 
是 ，RMON 直 接 从 网 络 介质 捕捉 数据 ， 因 此 ， 可 以 获得 局 域 网 的 整体 
信息 。 

RMON MIB 始 于 地 址 位 置 .1.3.6.1.2.1.16 (WE 15.7) ， 目 前 分 为 
2028, 80, M.1.3.6.1.2.1.16.1~.1.3.6.1.2.1.16.20. RMONHIETFF 
发 ， 用 于 解决 SNMP 的 缺陷 ， 并 使 远程 局 域 网 的 网 络 流量 更 为 清晰 。 

RMON 有 两 个 版 本 : RMON 1 和 RMON 2。 

> RMON 1: RMON 1 用 于 监控 以 太 局 域 网 ，RMON 1 中 包含 的 
所 有 组 都 用 于 监控 网 络 的 最 低 两 层 ， 例 如 OSI 参考 模型 中 的 物理 层 和 
数据 链 路 层 (TE TCP/IP 协 议 模型 中 ， 对 应 的 是 网 络 访问 层 ) o RMON 
1 在 多 个 RFC 文 档 中 描述 ， 其 中 包括 2819、1757， 以 及 最 初 定义 
RMON 1 的 RFC 1271 (最 初 发 布 于 1991 年 11 月 ) o 

> RMON 2: RMON 2 提供 了 RMON 1 的 功能 ， 并 且 人 允许 对 OSI 参 
考 模型 的 其 余 5 层 〈 在 TCP/PP 协 议 模型 中 ， 对 应 的 是 网 际 层 、 传 输 层 
和 应 用 层 ) 进行 监控 。RMON 2 的 规范 在 RFC 2021 中 描述 ， 该 RFC 文 
档 于 1997 年 发 布 ， 随 后 被 RFC 4502 更 新 。 

由 于 RMON 2 是 对 TCP/P 协 议 栈 的 更 高 层 进行 监听 ， 因 此 可 以 提 
供 更 高 级 别 协议 的 信息 ， 比 如 IP、TCP 和 NFS 协 议 等 。 

RMON 用 于 捕获 网 络 流量 数据 。RMON 代理 软件 (或 称 为 探测 软 
件 ) 在 网 段 上 进行 监听 ， 并 将 流量 数据 转发 到 RMON 控 制 台 。 如 果 网 
络 包 含 多 个 网 段 ， 则 需要 运行 不 同 的 代理 软件 针对 每 一 网 段 进行 监 
听 。RMON 信 息 被 收集 到 一 组 统计 数据 中 ， 这 组 统计 数据 关联 着 不 同 
种 类 的 信息 。RMON 1 有 以 下 10 种 类 型 的 组 。 


> 以 太 网 统计 : 统计 组 拥有 从 每 个 探测 网 段 搜集 到 的 表格 形式 的 
统计 信息 ， 这 个 组 中 的 一 些 计数 器 用 于 追踪 数据 包 、 广 播 、 冲 突 、 过 
小 数据 和 过 大 数据 报 等 的 数量 。 

> 以 太 网 历史 : 历史 组 拥有 定期 编译 的 统计 信息 ， 并 将 这 些 信息 
存储 起 来 备 以 后 查看 。34 历史 控制 : 历史 控制 组 包含 管理 数据 采样 的 
控制 信息 。 

> BS: 警告 组 需要 同 其 他 事件 组 〈 后 面 会 讲 到 ) 结合 工作 。 警 
告 组 定期 检测 探测 软件 内 变量 的 统计 样本 ， 并 将 其 与 已 经 配置 的 阅 值 
进行 对 比 。 当 阅 值 被 超出 时 ， 就 会 产生 相应 的 事件 通知 网 络 管理 者 。 

> 主机 : 主机 组 维护 网 段 上 每 台 主机 的 统计 信息 ， 它 是 通过 检测 
数据 报 中 的 源 和 目的 物理 地 址 来 获取 这 些 信息 的 。 

> 主机 排行 : 在 某 一 个 特定 分 类 中 ， 主 机 按照 已 定义 的 数值 进行 
排列 ， 主 机 排行 组 根据 这 些 主机 的 统计 信息 来 生成 报告 。 例 如 ， 某 网 
络 管理 员 可 能 要 查找 哪 台 主机 都 在 大 多 数 数据 报 中 出 现 过 ， 或 者 哪 台 
主机 发 送 了 大 多 数 的 过 大 或 过 小 的 数据 报 。 

> 和 矩阵: 和 矩阵 组 构建 了 一 个 表 ， 该 表 包 含 网 络 上 监控 到 的 每 个 数 
据 报 的 源 和 目的 物理 地 址 对 信息 。 这 些 地 址 对 用 于 定义 两 地 址 之 间 的 
会 话 。 

> 过 滤 : 过 滤 组 利用 生成 的 二 进 制 模式 匹配 或 过 滤 网 络 中 的 数据 
报 。 

> 数据 包 捕获 : 捕获 组 捕获 过 滤 组 选取 的 数据 报 ， 以 供 日 后 被 网 
络 管理 员 检索 和 分 析 。 

> 事件 : 事件 组 与 警告 组 一 同 工 作 ， 当 某 个 监控 对 象 的 冰 值 被 超 
出 时 ， 它 会 生成 事件 以 通知 网 络 管理 员 。 

由 于 需要 监视 上 层 协议 ，RMON 2 还 提供 了 其 他 组 。 


15.8 小 结 


本 章 介 绍 了 一 些 TCP/IP 远 程 访问 工具 ， 它 们 伴随 TCP/IP 协 议 不 断 
进化 着 。 你 学 习 了 Telnet、Berkeley 远 程 工具 和 SSH， 可 以 使 用 这 些 工 
具 在 远程 计算 机 上 执行 命令 和 获取 信息 。 

你 还 学 习 了 集中 监控 和 远程 网 络 维护 不 可 缺少 的 SNMP 协 议 。 通 
过 使 用 网 络 管理 服务 台 和 中 心 站 点 ， 网 络 管理 员 可 以 获知 异常 情况 的 
发 生 ， 并 通过 路 由 器 、HUB 和 服务 器 上 运行 的 代理 所 产生 的 报告 ， 来 
查看 网 络 流量 状态 。 网 络 管理 控制 台 还 允许 网 络 管理 员 完 成 像 重 置 路 
由 器 端口 这 样 的 功能 ， 甚 至 在 一 般 措施 无 法 排除 故障 的 情况 下 重 置 远 
程 设备 。 

目前 ， 许 多 比较 新 的 网 络 设备 都 包含 了 蓄 入 式 的 远程 监控 

(RMON) 特性 。RMON 能 够 大 大 减少 与 SNMP 相 关 的 网 络 流量 ， 而 
且 不 需要 强大 的 网 络 控制 台 来 截获 数据 。 但 是 ， 在 使 用 RMON 时 ， 为 
了 捕获 网 络 流量 ，RMON 代 理 或 探测 软件 会 进行 大 量 的 处 理工 作 。 


15.9 [115% 
问 : Telnet 是 服务 器 应 用 程序 、 客 户 端 应 用 程序 还 是 一 个 协议 ? 


答 : 
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术语 Telnet 可 以 指 服 务 器 应 用 程序 ， 也 可 以 指 客户 端 应 用 程 


或 者 也 可 以 指 Telnet 协 议 。 


如 果 要 指定 一 台 主 机 为 受信 主机 ， 需 要 使 用 哪个 文件 ? 
使 用 某 个 用 户主 目录 下 的 /etc/hosts.equiv 文 件 或 rhosts 文 件 来 


指定 受信 主机 。 
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RMON? 


E: SNMP 主 要 用 于 监视 网 络 设备 。RMON 直 接 从 网 络 截 至 捕获 


使 用 哪个 工具 能 判断 用 户 Ethelred 目 前 是 否 登 录 到 网 络 上 ? 
rwho 工 具 显 示 有 关 当 前 用 户 的 信息 。 

SNMP 协 议 使 用 哪 种 传输 协议 和 哪些 端口 ? 
SNMP 通 常 使 用 UDP 的 161 端 口 ; 162 端 口 用 于 SNMP 陷 阱 。 
事件 发 生 时 ， 代 理 程序 以 主动 模式 发 送 的 消息 名 称 是 什么 ? 
陷阱 消息 。 

RMON 1 位 于 TCP/IP 模 型 的 哪 一 层 ? 


: 网 络 访问 层 。 


RMON 2 位 于 TCP/IP 模 型 的 哪 一 层 ? 


> RMON 2 覆盖 了 TCP/IP 协 议 栈 的 所 有 层 。 


若 要 监视 网 络 流量 等 级 的 周期 性 变化 ， 应 使 用 NMP 还 是 


数据 ， 所 以 更 适 于 监视 网 络 流量 。 


15.10 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


15.10.1 问题 


0 bb WÙ N e 


. 与 Telnet 相 比 ， 人 们 为 什么 更 喜欢 SSH? 
， 哪 一 组 工具 具有 “受信 访问 ”的 概念 ? 

， 哪 一 个 协议 使 用 MIB 来 组 织 它 的 数据 ? 
.为 什么 说 SNMP 提 供 的 是 受 限 的 视图 ? 
. RMON 2 为 RMON 1 添加 了 什么 功能 ? 


15.10.2 练习 

1. 以 安全 性 为 顺序 ， 列 举 出 3 种 登录 到 远程 机 器 的 方法 。 

2. 查看 图 15.7， 找 出 与 接口 信息 相关 的 MIB 地 址 。 

3. 查看 图 15.7， 找 出 RMON 和 警告 组 的 MIB 地 址 。 

4. 列举 出 SNMP 的 一 些 缺 点 。 

5. 使 用 SSH 登 录 到 一 台 远 程 机 器 。 如 果 无 法 访问 远程 机 器 ， 可 以 
登录 到 自己 的 机 器 。 


15.11 语 


复习 下 列 关 键 术语 : 

> 代理 : 加 载 到 某 台 主机 上 的 SNMP 软件 ， 它 能 够 读 取 MIB 并 
以 期 望 的 结果 响应 监视 器 。 代 理 能 够 在 重要 异常 事件 发 生 时 向 监视 器 
传送 主动 消息 。 

> 社区 字符 串 : 与 一 个 SNMP 网 络 或 监控 组 相关 的 名 称 。 

> 管理 信息 库 (MIB) : SNMP 监 视 器 和 代理 使 用 的 一 种 分 层 地 
址 空间 。 通 过 使 用 虚线 符号 ， 以 从 MIB 结 构 的 根部 向 下 搜索 MIB 地 址 
的 方式 ， 来 定位 MIB 中 的 特定 参数 。 

> 探测 器 : 代理 的 别称 。 在 涉及 RMON 时 ， 经 常 使 用 这 个 术语 。 

> rep: 一 种 远程 文件 传输 工具 。 

> 远程 监控 (RMON) : 一 种 服务 和 MIB 扩 展 ， 能 提供 比 传统 的 
SNMP 更 强大 的 功能 。 为 了 在 RMON MIB 中 存储 数据 ， 代 理 或 探测 器 
中 必须 包含 RMON 软 件 。 

> rexec: 一 种 远程 命令 执行 工具 。 

> rlogin: 一 种 远程 登录 工具 。 

> rsh: 一 种 远程 命令 执行 工具 。 

> ruptime: 一 种 显示 正常 运行 时 间 和 连接 用 户 数量 等 系统 信息 
的 工具 。 

> rwho: 一 种 显示 当前 连接 用 户 信息 的 工具 。 

> 安全 外 壳 (SSH) : 一 组 工具 ， 它 可 以 提供 一 个 安全 而 且 加 密 
的 远程 外 壳 访问 解决 方案 。 

> Shell: 操作 系统 的 命令 行 接口 。 

> 简单 网 络 管理 协议 (SNMP) : 一 种 用 于 管理 TCP/IP 网 络 资源 
的 协议 。 


> Telnet: 一 种 一 度 很 流行 的 远程 终端 工具 ， 现 在 基本 上 被 更 为 
安全 的 SSH 取 代 。 

> 陷阱 : SNMP 代 理发 送 的 一 个 主动 消息 ， 用 来 通知 发 生 了 某 一 
个 事件 。 

> 受信 访问 : 一 种 薄弱 的 安全 系统 ， 系 统管 理 员 在 其 中 指定 可 以 
访问 本 地 系统 的 受信 远程 主机 和 用 户 。 


第 16 章 经 典 的 服务 


本 章 介 绍 如 下 内 容 : 

> FTP; 

> TFTP; 

> NES; 

> SMB 和 CIFS ; 

> LDAP. 

现在 为 止 ， 我 们 已 经 知道 TCP/IP 协议 簇 是 用 于 网 络 通信 的 一 个 通 
用 系统 。 如 果 你 打算 编写 一 个 服务 器 应 用 程序 ， 或 者 编写 一 个 客户 端 
应 用 程序 ， 抑 或 是 捆绑 网 络 电缆 ， 你 可 以 创建 一 个 具有 广泛 用 途 的 工 
具 。 但 是 ， 大 多 人 还 是 更 愿意 使 用 已 经 编写 好 的 工具 。 

在 Internet 的 早期 ， 大 量 古 老 的 服务 发 挥 了 重要 的 作用 。 本 书 第 
一 版 就 曾经 对 这 些 服务 进行 过 讲解 ， 其 中 包括 Archie、Veronica 和 
Gopher。 这 些 服务 如 今 都 已 经 被 功能 更 强大 的 超 文 本 传输 协议 

(Hypertext Transfer Protocol, HTTP) 服务 (位 于 万 维 网 的 核心 位 

置 ) 取代 。 本 章 将 讲解 一 些 最 重要 的 标准 服务 ， 这 些 服务 如 今 仍然 在 
TCP/IP 网 络 中 运行 。 在 TCP/IP 协 议 系统 中 ， 这 些 服务 都 运行 于 应 用 
层 ， 并 通过 传输 层 端 口 来 监听 服务 请 求 。Internet 上 的 大 多 数 活动 均 这 
些 工 具 相 关 ， 因 此 它们 引起 了 IT 从 业 人 员 的 关注 。 本 章 会 讲解 

” HTTP; 

> E-mail; 

> FTP 文件 传输 ; 

> 文件 和 打印 服务 ; 

” LDAP; 

> IRC 和 IM 通 信 。 


本 书后 面 章节 中 将 会 讲 到 ，Web 上 作为 单独 功能 (activity) 而 出 
现 的 许多 工具 (比如 社交 化 网 络 和 流 (streaming) ) 都 是 HTTP 所 支持 
的 Web 基 础 设施 的 扩展 。 第 18 章 将 会 详细 讲解 HITP 和 万 维 网 。E-mail 
是 另外 一 个 相当 重要 的 Internet 功 能 ， 因 此 有 必要 单独 拿 出 一 章 (NE 
21 章 ) 对 其 详细 讲解 。 

本 章 主要 关注 的 是 已 连 网 用 户 可 以 使 用 的 服务 ， 用 户 可 以 根据 他 
们 的 网 络 行为 选择 相应 的 服务 。 有 些 底层 服务 虽然 不 会 被 用 户 看 到 ， 
比如 DNS ( 见 第 10 章 ) 、DHCP ( 见 第 12 章 ) ， 以 及 像 ping 这 样 的 排 错 
TA ( 见 第 14 章 ) 但 是 它们 也 非常 重要 。 


16.1 HTTP 


在 Internet 早期 ， 一 度 通 过 许多 独立 工具 来 引发 的 行为 ， 以 及 近 
年 来 出 现 的 大 量 创 新 性 的 应 用 开发 ， 现 在 都 被 无 处 不 在 而 且 功 能 强大 
的 HTTP 所 训 括 。HTTP 作 为 万 维 网 现象 的 核心 ， 从 本 质 上 讲 是 一 个 应 
用 程 协议 ， 它 用 来 传输 和 请 求 HTML 格 式 的 数据 和 图 片 。 

HTTP 包 含 了 大 量 的 主题 ， 因 此 难以 进行 简要 概括 。 第 18、19、20 
章 讲 到 的 HTTP 和 HTML 都 致力 于 这 个 重要 的 服务 以 及 与 其 相关 的 技 
术 。 就 本 章 而 言 ， 要 记 住 ， 带 有 单词 Web 的 任何 事务 都 与 HTTP 相 
天 。Web 服 务 器 从 根本 上 讲 就 是 一 个 HTTP 服 务 器 。Web 站 点 是 一 个 可 
以 通过 HTTP 访 问 的 文件 、 链 接 或 其 他 资源 的 目录 。 网 管 

(webmaster) 就 是 知道 如 何 与 HTTP、HTML 以 及 将 Web 站 点 整合 起 来 
的 其 他 组 件 打交道 的 人 。 博 客 和 社交 化 网 络 站 点 使 用 的 就 是 HTTP。 如 
今 的 内 容 管理 系统 (Content Management System, CMS) 将 用 户 从 硬 
编码 的 HTML 标 记 的 繁 文 乡 节 中 解放 出 来 。 但 是 ， 从 本 质 上 来 讲 ， 这 
些 内 容 管 理 系统 仍然 是 通过 HTTP 来 运行 的 。 

有 关 HTTP 重 要 主题 的 详细 信息 ， 请 见 本 书后 面 的 章节 。 


16.2 E-mail 


电子 邮件 是 Internet 中 一 项 重要 服务 。 大 量 的 Internet 用 户 每 天 都 会 
(在 家 或 在 办 公 室 ) 发 送 几 十 封 邮件 信息 。 
与 其 他 Internet 服务 相同 ，E-mail 也 依赖 于 客户 端 应 用 程序 (8 
常 是 个 人 计算 机 上 的 一 个 E-mail 客户 端 软件 ) 和 服务 器 应 用 程序 之 间 
的 交互 。 实 际 上 ， 标 准 的 E-mail 依赖 于 一 对 服务 器 系统 ， 这 一 对 服务 
器 就 是 你 在 E-mail 客户 端 软 件 的 配置 界面 进行 配置 的 “接收 服务 器 ”和 
“发 送 服务 器 ”。 发 送 服务 器 (使 用 简单 邮件 传输 协议 (SMTP) ) 先 接 
收 你 编写 并 发 出 的 E-mail 消 息 ， 然 后 将 其 通过 一 个 SMTP 服 务 器 网 络 转 
到 目的 地 址 。 接 收 邮 件 的 服务 器 (通常 使 用 POP 或 IMAP 协 议 ) 接收 
发 往 你 的 邮件 账户 的 消息 ， 然 后 等 待 你 的 邮件 客户 端 软 件 发 出 连接 请 
求 和 访问 消息 的 请 求 。 
大 多 数 邮 件 服务 器 都 是 由 Internet 服务 提供 商 来 运营 ， 它 们 也 可 
以 由 为 其 成 员 或 员工 提供 E-mail 连通 性 的 公司 、 机 构 和 组 织 来 运营 。 
有 关 TCP/IP 之 上 的 E-mail 的 完整 讨论 ， 请 见 第 21 章 。 


16.3 FTP 


文件 传输 协议 (FTP) 是 一 个 广泛 应 用 的 协议 ， 它 允许 用 户 在 
TCP/IP 网 络 上 的 两 台 计 算 机 之 间 进 行文 件 传 输 。 文 件 传 输 应 用 程序 
(通常 被 称 为 ftp) 使 用 FTP 来 传输 文件 。 用 户 在 一 台 计 算 机 上 运行 
FIP 客户 端 应 用 程序 ， 在 另 一 台 计 算 机 上 运行 FTP 服务 端 程序 ， 例 如 
UNIX/Linux 系 统 上 的 ftpd 程 序 (FTP daemon) ， 或 者 其 他 平台 上 的 
FTP 服 务 。 许 多 FTP 客 户 端 程序 是 基于 命令 行 的 ， 但 也 有 基于 图 形 界 
面 的 版 本 。FTP 主 要 用 来 传输 文件 ， 但 是 它 也 可 以 执行 其 他 功能 ， 例 
如 创建 目录 、 删 除 目录 和 列 出 目录 文件 等 。 

注意 : FTP 和 Web 

FTP 广 泛 应 用 于 万 维 网 中 ， 而 且 FTP 协 议 也 已 经 集成 进 大 多 数 Web 
浏览 器 中 。 有 时 ， 当 你 通过 Web 浏览 器 下 载 文 件 时 ， 你 可 能 已 经 注意 
到 ， 地 址 栏 中 的 URL 是 以 ftp:/ 打 头 的 。 

FTP 使 用 TCP 协 议 ， 因 此 它 是 通过 客户 端 计 算 机 和 服务 器 计算 机 
之 间 的 面向 连接 的 可 靠 会 话 进行 操作 的 。 标 准 的 FTP daemon (在 服务 
器 端 ) 在 TCP 的 21 端 口 监听 来 自 客户 端的 请 求 。 当 客户 端 发 送出 一 个 
请 求 后 ， 它 就 会 发 起 一 个 TCP 连接 〈 见 第 6 章 ) ， 此 时 远程 用 户 就 会 
被 FTP 服 务 器 进行 验证 ， 然 后 开始 会 话 。 经 典 的 基于 文本 的 FTP 会 话 需 
要 远程 用 户 利用 命令 行 界 面 通 服务 器 进行 交互 。 典 型 的 命令 语句 可 以 
开始 或 停止 FTP 会 话 、 远 程 浏览 目录 结构 ， 以 及 上 载 或 下 载 文件 等 。 
较 新 的 基于 图 形 用 户 界 面 的 FTP 客 户 端 提供 一 个 图 形 界面 (而 是 命令 
行 界面 ) 来 浏览 目录 和 移动 文件 。 

注意 : daemon 和 服务 

在 UNIX 中 ，daemon 是 一 个 在 后 台 运 行 的 进程 ， 当 对 某 一 服务 发 
出 请 求 时 ， 该 进程 将 执行 所 请 求 的 服务 。 在 Windows 中 ，daemon 被 称 
为 服务 。 


在 大 多 数 计算 机 中 ， 输 入 ftp 加 主机 名 或 FTP 服 务 器 的 IP 地 址 就 可 
以 开启 一 个 基于 文本 的 FTP 会 话 ， 之 后 ，FTP 会 提示 你 输入 用 户 名 和 密 
码 ，FTP 服 务 器 通过 它们 来 验证 你 的 授权 并 决定 你 的 权限 。 例 如 ， 你 
登录 的 用 户 账户 可 能 只 有 只 读 权 限 ， 也 可 能 被 配置 为 同时 具有 读 写 操 
作 权 限 。 许 多 FTP 服 务 器 开放 公众 使 用 ， 并 人 允许 以 匿名 用 户 名 进行 登 
R (通常 只 能 具有 只 读 访问 权限 ) 。 当 使 用 匿名 账户 名 时 ， 您 可 以 使 
用 任意 密码 ， 不 过 ， 在 习惯 上 该 密码 一 般 使 用 电子 邮件 的 账户 名 。 
FTP 服 务 器 不 开放 公众 使 用 时 ， 就 被 设置 为 不 支持 匿 访 问 ， 此 时 ， 必 
须 输入 用 户 名 和 密码 才能 获取 权限 ， 这 些 用 户 名 和 密码 通常 由 FTP 服 
务 器 管理 员 建 立 或 提供 。 

许多 FTP 客 户 端 工具 允许 使 用 基于 UNIX 或 基于 DOS 的 命令 ， 实 际 
可 用 的 命令 取决 于 被 使 用 的 客户 端 软件 。 当 使 用 FTP 传 输 文 件 的 时 
候 ， 必 须 为 FTP 指 定 将 要 传输 文件 的 类 型 ， 最 常见 的 选择 是 二 进 制 和 
ASCII 码 。 要 传输 简单 文本 文件 时 应 选择 ASCII 码 ， 当 要 传输 的 文件 是 
程序 文件 、 字 处 理 文 档 或 图 片 时 则 选择 二 进 制 文 件 。 默 认 选 项 为 
ASCII 码 。 

请 注意 ， 众 多 的 FTP 服 务 器 架设 在 UNIX 或 Linux 系 统 的 计算 机 
上 ， 这 些 系统 是 区 分 大 小 写 的 ， 所 以 输入 文件 名 的 时 候 请 严格 区 分 大 
小 写 。 当 启动 FTP 会 话 以 后 ， 接 收 和 发 送 的 文件 会 默认 置 于 本 地 计算 
机 的 当前 目录 。 

下 面 列 出 一 些 常用 的 FTP 命 令 语句 及 对 它们 的 解释 。 

> ftp: ftp 命 令 用 于 启动 一 个 FTP 客 户 端 程序 。 可 直接 输入 ftp， 
或 输入 ftp 加 一 个 IP 地 址 或 域名 。 在 图 16.1 中 ， 我 们 通过 输入 ftp 


rs.internic.net 命令 启动 了 一 个 与 rs.internic.net 的 FTP 会 话 。 
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jcasad@sugar:-$ ftp rs.internic.net 
Connected to rs.internic.net. 


226- eC eee eee eee eee 4040040 "Hn Fee eH eee LACALLE 
220- Besen [l 
| 226.8888 InterNIC Public FTP Server = — #*### 
220 |||” ie 
¡220-99900 Login with username “anonymous” = —  *##*#** 
220-***** You may change directories to the following: ***** 
|220- | "和 "" 
|226-***** domain - Root Domain Zone Files j  ***** 
1220- |||” 
220-..... Unauthorized access to this system may ***** 
22. ..... result in criminal prosecution, wwws 
220- le i 
220-..... All sessions established with this server are ***** 
$29-00000 monitored and logged. Disconnect now 1f you do ***** 
220-..... not consent to having your actions monitored ***** 
220.***** and logged. ..... 
1220 ||| LA 
220 DOP RRR RRR ESSER SESS SESE SELES EEE EEE REESE AAA 
226- 

220- 


220 FTP server ready. 
Name (rs. internic,net;jcasad): 0 


图 16.1 启动 一 个 FTP 会 话 


> user: a 可 以 使 用 user 命 令 来 更 改 用 户 身 份 名 称 
和 密码 信息 。 这 条 命令 提示 你 输入 新 的 用 户 身份 名 称 和 密码 ， 就 如 同 
使 用 ftp 命令 user 命令 等 效 于 退出 当前 FTP 会 话 然后 以 新 用 户 身 
份 进 行 登录 。 

> help: help 命 令 列 出 FTP 客 户 端 支持 的 所 有 ftp 命 令 (ME 
16.2) 。 


File Edit View Terminal Tabs Help 
ftp» help 
Commands may be abbreviated Commands are 

jebug m end 
5 dir s mget sendport site 
account disconnect mkdir put size 
append exit mis pwd status 
ascii form mode quit struct 
bell get modt ime quote system 
binary glob mput recy sunique 
bye hash newer reget tenex 
case help nmap rstatus tick 
ca idle nlist rhelp trace 
cdup image ntrans rename type 
chmod lca open user 
close ts prompt restart umask 
( macdef | 11 bos 
delete mdelete proxy runique ? 
ftp> [] 


图 16.2 在 FTP 提 示 符 下 输入 help， 以 获得 所 有 的 FTP 命 令 


1s 或 dir: UNIX/Linux 系 统 下 的 ls 或 1s -1 命令 ， 或 者 是 Windows 
系统 下 的 dir 命 令 ， 都 会 列 出 某 个 目录 的 内 容 。 这 些 命令 执行 后 ， 会 返 
回 FTP 服 务 器 上 当前 工作 目录 内 的 文件 名 和 目录 名 。 在 两 条 系统 消息 
(150 和 226 之 后 的 行 ) 之 间 ， 即 为 实际 的 目录 列表 ， 包 含有 当前 工作 
目录 内 的 所 有 文件 和 子 目录 。1s -命令 与 ls 命令 类 似 ， 但 是 会 列 出 更 多 
细节 信息 ， 例 如 允许 用 户 读 写 的 权限 和 文件 创建 日 期 等 。 

> pwd: 使 用 pwd 命 令 显 示 当 前 工作 目录 的 名 称 。 这 里 指 的 是 远 
程 服务 器 上 的 目录 ， 而 非 本 地 计算 机 的 目录 。 

> cd: 使 用 cd 命令 改变 FTP 服 务 器 上 的 当前 工作 目录 。 

> mkdir: 在 UNIX/Linux 系 统 下 ， 使 用 mkdir 命 令 在 FTP 服 务 器 上 
的 当前 工作 目录 下 创建 一 个 目录 。 此 命令 在 匿名 FTP 会 话 中 通常 不 允 
许 使 用 。 

> rmdir: 在 UNIX 系 统 下 ， 使 用 rmdir 在 FTP 服 务 器 上 的 当前 工作 
目录 下 移 除 一 个 目录 。 此 命令 在 匿名 FTP 会 话 中 通常 不 允许 使 用 。 


> binary: 使 用 binary 命 令 将 FTP 客 户 端 默认 的 ASCII 码 传输 方式 
改 为 二 进 制 方式 。 在 二 进 制 方式 下 ， 通 过 使 用 get、put、mget 和 mput 
命令 ， 可 以 高 效 传递 如 程序 或 图 片 等 二 进 制 文件 。 

> ascii: 使 用 ascii 命 令 将 FTP 客 户 端的 传输 方式 改 为 ASCII 码 方 
Ho 

> type: 使 用 type 命 令 显 示 当 前 文件 传输 方式 (ASCII 码 方式 或 
二 进 制 方式 ) 。 

> status: status 命 令 用 于 显示 FTP 客 户 端 的 各 种 设置 信息 ， 包 括 
客户 端 设置 的 传输 方式 (ASCII 码 方式 或 二 进 制 方式 ) 和 在 客户 端 是 
否 显 示 详 细 的 系统 信息 。 

> get: 使 用 get 命 令 从 FTP 服 务 器 端 向 FTP 客 户 端 下 载 文 件 。 执 行 
get 后 边 跟 一 个 文件 名 的 命令 时 ， 会 将 这 个 文件 从 服务 器 端 复制 至 客户 
端的 当前 工作 目录 中 。 执 行 get 后 边 跟 两 个 文件 名 的 命令 时 ， 在 客户 端 
创建 的 新 文件 的 名 称 由 第 2 个 文件 名 指定 。 

> mget: mget 命 令 类 似 于 get 命 令 ， 但 使 用 mget 命 令 可 以 一 次 下 
载 多 个 文件 。 
> put: 使 用 put 命 令 从 FTP 客 户 端 向 FTP 服 务 器 端 上 传 文件 。Ppnut 
令 后 边 跟 一 个 文件 名 时 ， 将 这 个 文件 从 客户 端 复制 到 服务 器 端 。pnut 
命令 后 边 跟 两 个 文件 名 时 ， 在 服务 器 端 创建 的 新 文件 的 名 称 由 第 2 个 文 
件 名 指定 。 

> mput: mput 命 令 类 似 于 put 命 令 ， 但 使 用 mput 命 令 可 以 一 次 上 
传 多 个 文件 。 

> open: 使 用 open 命 令 可 以 和 FTP 服 务 器 建立 一 个 新 的 对 话 。 
open 命 令 等 效 于 立即 退出 当前 FTP 会 话 并 重新 登录 。 open 命 令 可 用 于 
登录 一 个 完全 不 同 的 FTP 服 务 器 或 者 重新 登录 当前 服务 器 。 

> close: 使 用 close 命 令 结束 当前 与 FTP 服 务 器 的 对 话 。FTP 客 户 
端 程序 此 时 依然 运行 ， 可 以 使 用 open 命 令 同 FTP 服 务 器 建立 新 的 对 


A 
AR 


话 。 

> bye 或 quit: 使 用 bye 或 quit 命 令 ， 将 关闭 当前 FTP 会 话 并 结束 
FTP 客 户 端 程序 。 

上 面 介 绍 的 命令 虽然 没有 包含 所 有 的 FTP 命 令 ， 不 过 涵盖 了 FTP 会 
话 中 的 大 部 分 应 用 命令 。 

尽管 上 面 提 到 的 命令 列表 没有 囊括 所 有 的 FTP 命 令 ， 但 是 它们 在 
FTP 会 话 期 间 会 经 常用 到 。 

绝 大 多 数 现代 计算 机 系统 支持 以 命令 行 方式 运行 的 FTP， 而 新 一 
代 的 图 形 FTP 客 户 端 则 降低 了 通过 命令 行进 行 输入 的 要 求 。 访 问 FTP 的 
用 户 通常 选择 图 形 界面 的 客户 端 ， 这 类 客户 端 可 以 像 我 们 平时 使 用 的 
文件 浏览 器 一 样 显示 和 管理 文件 资源 。 

FTP 协 议 是 一 个 相对 古老 的 协议 ， 早 在 强调 网 络 安全 之 前 它 就 形 
成 了 。 在 最 近 对 该 协议 规范 的 更 新 中 (如 RFC 2228“FTP Security 
Extensions”) ， 加 入 了 一 些 重要 的 保护 措施 〈 例 如 更 安全 的 验证 ) ， 
但 是 ，FTP 仍 然 被 认为 是 不 够 安全 的 。 

尽管 存在 安全 问题 ，FTP 仍 然 相当 受 欢 迎 。FTP 协 议 为 上 传 和 下 载 
文件 提供 了 一 个 方便 的 机 制 ， 这 些 文件 包括 普通 文档 和 因为 太 大 无 法 
而 由 电子 邮件 分 发 的 文件 。 相 比 电 子 邮件 ， 使 用 FTP 上 传 文件 的 一 大 
优势 是 可 以 使 用 FTP 命 令 来 确认 服务 器 上 的 文件 ， 进 而 检测 出 文件 是 
否 已 经 抵达 目的 地 。 

如 果 你 需要 比 普 通 FTP 更 为 安全 的 工具 ， 可 以 考虑 使 用 SSH 工 具 
8 〈 见 第 15 章 ) ， 它 包含 了 scp 和 sftp 文 件 传输 工具 。 


16.4 IX (TETP 


简单 文件 传输 协议 (Trivial File Transfer Protocol, TFTP) 用 于 在 
TFTP 客 户 端 和 TFTP 服 务 器 之 间 传 输 文件 ， 其 中 TFTP 服 务 器 就 是 一 台 
运行 tftpd TFTP deamon 的 计算 机 。TEFTP 基 于 UDP 协议 进行 文件 传输 ， 
与 FTP 不 同 的 是 ，TFTP 传 输 文件 时 不 需要 用 户 进行 登录 。 正 因为 如 
此 ，TFTP 协议 通常 被 认为 存在 安全 漏洞 ， 特 别 是 当 TFTP 服务 器 允许 
写 入 操作 时 。 

TFTP 协 议 被 设计 得 短小 精 悍 ， 这 样 它 和 UDP 协议 就 都 可 以 在 一 片 
可 编程 只 读 存储 器 (PROM) 心 片上 实现 。 同 FTP 协议 相 比 ，TFTP 
协议 的 功能 很 有 限 ， 它 名 称 中 的 首 字母 T 代 表 trivial， 就 是 平凡 、 微 不 
足 道 的 意思 。TFTP 协议 只 能 进行 文件 读 写 操作 ， 无 法 列 出 目录 中 的 
内 容 、 创 建 或 移 除 目 录 ， 也 不 允许 用 户 像 FTP 一 样 进行 登录 认证 。 
TFTP 协 议 的 主要 用 途 是 与 RARP 和 BOOTP 协 议 结合 ， 完 成 无 盘 工 作 站 
的 启动 工作 ， 在 某 些 时 候 ， 也 执行 上 传 新 系统 代码 或 为 路 由 器 等 网 络 
设备 安装 补丁 程序 的 任务 。TFTP 协 议 传 输 中 有 3 种 模式 : netascii, 1 
用 ASCH 码 格式 ; 另 一 种 是 octet， 二 进 制 数据 格式 ; 最 后 一 种 是 
mail， 但 是 已 经 不 再 使 用 。 

当 用 户 在 命令 行 中 执行 tftp 命 令 时 ， 计 算 机 便 开始 建立 与 服务 器 的 
连接 并 执行 文件 传输 操作 。 文 件 传 输 结束 时 ， 会 话 结束 并 断 开 连接 。 
TFTP 命 令 的 语法 如 下 所 示 : 

TFTP [-i] host [get | put] <source filename> [<destination filename>] 

有 关 TFTP 协 议 的 更 多 细节 ， 请 见 RFC 13500 


16.5 E 


像 ftp 和 tftp 这 样 的 工具 都 是 运行 在 TCP/IP 协 议 栈 应 用 层 上 的 独立 应 
用 程序 。 这 些 工具 在 它们 刚 出 现 的 那个 时 代 具 有 很 大 优势 ， 并 且 如 今 
在 某 些 环境 中 仍然 有 用 武之 地 ， 但 是 软件 厂商 和 Internet 梦想 家 已 经 
在 开始 寻找 更 加 通用 的 解决 方案 。 他 们 的 目标 是 将 远程 文件 访问 与 本 
地 文件 访问 相 集 成 ， 以 便 使 本 地 资产 和 远程 资产 通过 同一 个 接口 来 访 
问 。 

在 第 7 章 我 们 讲 到 ， 集 成 网 络 文件 访问 的 部 分 功能 要 求 客户 端 计算 
机 上 有 一 个 重 定向 器 (或 请 求 程 序 ) ， 以 截获 资源 请 求 ， 并 把 与 网 络 
相关 的 请 求 路 由 给 当前 网 络 。 这 种 解决 方案 的 另 一 部 分 是 一 种 通用 的 
文件 访问 协议 ， 通 过 构建 一 个 完整 的 协议 层 ， 来 使 得 基于 GUI 的 用 户 
界面 工具 和 其 他 应 用 程序 可 以 访问 网 络 。 对 于 本 地 网 络 来 说 ， 这 种 文 
件 访问 方法 是 现在 的 首选 方法 。 下 面 几 个 小 节 将 会 介绍 一 对 提供 集成 
网 络 文件 访问 的 协议 。 

> 网 络 文件 系统 (Network File System, NFS) : 在 UNIX 和 
Linux 系 统 中 使 用 的 协议 。 

> 通用 Internet 文 件 系 统 /服务 器 消息 块 (Common Internet File 
System/Server MessageBlock, CIFS/SMB) : 用 于 为 Windows 客 户 端 
提供 远程 文件 访问 的 协议 。 

这 些 协 议 展示 了 TCP/IP 应 用 层 的 能 力 ， 以 及 围绕 展 好 定义 的 协议 
栈 建 立 一 个 网 络 系统 可 以 获得 的 收益 ， 在 这 个 系统 中 ， 底 层 协 议 为 上 
层 多 种 专用 的 协议 构建 了 基础 。 


16.5.1 WZ SS 


网 络 文件 系统 (NES) 最 初 由 SUN 公 司 开 发 ， 现 在 被 UNIX、 
Linux 和 其 他 众多 操作 系统 支持 。NFS 人 允许 用 户 像 在 本 地 一 样 访问 远程 
计算 机 的 目录 和 文件 ， 执 行 包 括 读 、 写 、 建 立 和 删除 等 操作 。 由 于 
NFS 被 设计 为 在 本 地 文件 系统 和 远程 计算 机 文件 系统 之 间 提 供 透 明 接 
口 ， 而 且 它 是 在 这 两 台 计 算 机 的 操作 系统 内 部 实现 的 ， 因 此 不 需要 对 
应 用 程序 做 任何 改动 。 通 过 NFS， 应 用 程序 能 够 同时 访问 本 地 和 远程 
计算 机 上 的 文件 和 目录 ， 不 需要 做 任何 重新 编译 或 其 他 改动 。 对 用 户 
而 言 ， 所 有 的 文件 和 目录 就 好 像 都 存在 于 本 地 计算 机 上 一 样 。 

NFS 最 初 使 用 UDP 协议 进行 数据 传输 并 运行 于 局 域 网 之 中 ， 在 最 
近 的 版 本 里 ，NFS 开 始 允 许 使 用 TCP 协 议 。TCP 附 加 的 可 靠 性 赋予 NFS 
更 多 的 能 力 ， 使 其 现在 可 以 在 广域网 上 运行 。 

NFS 被 设计 成 独立 于 操作 系统 、 传 输 协 议和 物理 网 络 架构 之 外 的 
系统 ， 这 使 得 NFS 客 户 端 可 以 与 任何 NFS 服 务 器 进行 交互 。 这 种 独立 
性 是 通过 在 客户 端 和 服务 器 计算 机 之 间 使 用 远程 过 程 调用 (Remote 
Procedure Call, RPC) 来 实现 的 。RPC 人 允许 在 本 地 运行 的 程序 调用 运 
行 于 其 他 计算 机 上 程序 的 内 部 代码 段 。RPC 已 经 流传 了 多 年 并 被 多 种 
操作 系统 支持 ， 在 NFS 中 ， 由 客户 端 操作 系统 发 起 对 服务 端 操作 系统 
的 远程 过 程 调 用 。 

NFS 系 统 中 ， 在 远程 文件 和 目录 被 使 用 之 前 ， 它 们 必须 首先 经 历 
名 为 安装 (mounting) 的 过 程 ， 在 安装 之 后 ， 远 程 文 件 和 目录 就 可 以 
像 在 本 地 文件 系统 中 一 样 显 示 和 使 用 了 。 

当前 ，NFS 协 议 的 最 新 版 本 是 第 4 版 ，RFC 3530 对 其 进行 了 讲 
解 。 有 关 NFS 早 期 版 本 的 信息 ， 可 查阅 RFC 1094 和 RFC 1813。NFS 的 
具体 实现 随 操作 系统 而 变 。 有 关 如 何 为 你 的 操作 系统 配置 NFS 的 信 
息 ， 请 查阅 厂商 提供 的 文档 。 


16.5.2 5 5 FA Internet A 


服务 器 消息 块 (SMB) 是 一 个 支持 Windows 用 户 界面 的 网 络 集成 
工具 的 协议 ， 这 些 工具 包括 资源 管理 器 、 网 上 邻居 和 网 络 驱 动 器 映射 
等 。SMB 被 设计 为 运行 于 各 种 不 同 协议 系统 之 上 ， 这 些 系统 包括 
IPX/SPX (传统 的 NetWare 协 议 栈 ) ~ NetBEUI (一 种 过 时 的 PC LAN 
协议 ) 和 TCP/IP。 

如 同 其 他 网 络 协议 一 样 ，SMB 围绕 着 客户 端 ( 请 求 服 务 的 计算 
N) 和 服务 器 (提供 服务 的 计算 机 ) 的 概念 而 设计 。 每 次 会 话 都 始 于 
一 次 信息 的 初步 交换 ， 包 括 对 SMB 语 法 的 协商 、 对 客户 端的 认证 和 登 
录 服 务 器 。 认 证 过 程 的 细节 因 操 作 系统 和 配置 的 不 同 而 不 同 ， 不 过 就 
SMB 而 言 ， 登 录 是 封装 在 sesssetupX SMB 中 的 〈SMB 协 议 下 的 协议 传 
输 被 简单 地 称 为 一 个 SMB) 。 

如 果 登 录 成 功 ， 客 户 端 会 发 送 一 个 SMB， 用 于 指定 要 访问 的 网 络 
共享 名 称 ， 如 果 共 享 访问 成 功 ， 客 户 端 就 可 以 开始 对 网 络 资源 执行 各 
种 操作 ， 包 括 打 开 、 关 闭 、 读 取 或 写 入 等 ， 而 服务 器 会 发 送 必 要 数据 
来 完成 这 些 请 求 。 

SMB 通 常 被 认为 是 一 个 Windows 协 议 ， 的 确 是 这 样 ，SMB 的 重要 
性 体现 在 它 与 Windows 客 户 端 用 户 界面 的 紧密 集成 。SMB 的 一 个 开放 
标准 版 本 被 称 作 通用 Internet 文 件 系统 (CIFS) 。 开 发 人 员 和 支持 服务 
器 与 Windows 客 户 端 进行 SMB 连 接 的 操作 系统 ， 都 很 了 解 SMB 和 CIFS 
协议 的 细节 。 一 种 名 为 Samba (可 以 注意 到 ，SMB 加 上 两 个 元 音 ， 就 
成 了 一 种 舞蹈 ) 的 流行 开源 服务 器 为 UNIX/Linux 系 统 提 供 SMB 文 件 服 


务 。 


当 在 Windows 中 配置 文件 共享 时 ， 实 质 上 是 将 计算 机 配置 为 一 个 
CIFS 服 务 器 〈《 见 图 16.3) 。 当 从 另外 一 个 系统 连接 一 个 共享 资源 时 ， 


这 个 系统 会 将 资源 识别 为 Windows Network， 然 后 使 用 内 置 的 
SMB/CIFS 客 户 端 软件 进行 连接 。 


- a ye ec ch emer ps 2 rs = ya oo N 
( Jig) (E » Control Panel » Network and Sharing Center "| Search P 


v 
Network and Sharing Center 
View full mep 
A 
| ed 
OWNER-PC Network 2 Internet 
(This computer) 
A: Network 2 (Public network) Customure 
Access Local and Internet 
Connection Local Areco Connection dre stats 


BL Sharing and Discovery 
Network discovery o Of 


v 
File sharing © On se) 
Public folder sharing o Of v 
Printer sharing o Off {~ 
Password protected sharing o On E2 
Media sharing oot (y) 


Show me all the files and folder | am sharing 


Show me afl the shared network folders on this computer 


图 16.3 当 在 windows 中 配置 文件 共享 时 ， 实 际 上 是 将 其 配置 为 使 用 
SMB/CIFS 协议 


SMB/CIFS 凭借 其 通用 性 得 到 了 广泛 的 支持 ， 因 此 当 网 络 中 混杂 
了 不 同类 型 的 操作 系统 时 ， 会 考虑 使 用 SMB/CIFS。SBM 除 了 得 到 
Windows 客 户 端的 支持 之 外 ， 还 得 到 了 Linux 和 Mac OS 客户 端的 支持 ， 
因此 它 成 为 小 型 网 络 的 一 个 理性 选择 。 在 服务 器 端 ， 免 费 的 Samba 服 
务 器 已 经 成 为 一 款 复 杂 的 工具 ， 它 运行 良好 ， 并 且 能 够 与 Microsoft 自 
带 的 连 网 组 件 很 好 地 集成 。Linux 服务 器 管理 员 即 使 在 需要 与 
Windows 进行 交互 操作 时 ， 也 会 倾向 于 选择 SMB/CIFS。 


sit 


16.6 轻型 E 


多 年 以 来 ， 专 家 们 一 直 在 考虑 如 何 存储 和 检索 与 用 户 、 系 统 、 设 
备 以 及 其 他 网 络 资源 相关 的 信息 。 在 较 大 的 网 络 中 ， 以 一 种 统一 有 效 
的 方式 来 管理 资源 信息 的 难度 日 益 增 大 。 轻 型 目录 访问 协议 
(Lightweight Directory Access Protocol, LDAP) 最 初 是 作为 X.500 数 
据 模型 的 继任 者 来 发 出 来 的 ， 它 基于 TCP/IP。LDAP 是 一 个 目录 服 
务 。 一 台 LDAP 服 务 器 维护 网 络 资源 的 信息 目录 ， 而 且 这 些 信息 以 树 
状 的 逻辑 层次 进行 组 织 。LDAP 运 行 于 TCP/IP 应 用 层 ， 并 在 熟知 的 TCP 
端口 389 上 监听 请 求 。LDAP 协 议 、 数 据 格 式 、 以 及 语法 都 在 一 些 列 
RFC 文 档 中 有 介绍 。LDAP v3 (最 新 版 本 ) 在 RFC 4510~4159 中 有 介 


JJ 
Bo 


在 现代 网 络 中 ， 安 全 系统 并 不 仅仅 意味 着 用 户 名 和 密码 ， 它 远 比 
这 些 复杂 。 首 席 爱 你 ， 网 络 中 通常 会 包含 多 个 服务 器 ， 从 而 可 以 使 用 
一 种 公用 的 方法 ， 让 不 同 的 系统 访问 与 用 户 证 书 相关 的 信息 。 此 外 ， 
网 络 还 需要 一 种 通用 的 方法 来 指派 、 更 总 和 验证 用 户 对 硬件 资源 ( 比 
如 打印 机 ) 和 文件 、 目 录 的 访问 许可 。 一 旦 编译 完 这 个 通用 的 网 络 信 
息 目 录 之 后 ， 你 也 可 以 用 来 记录 其 他 类 型 的 信息 ， 比 如 员工 合同 信 
息 、 设 备 生 产 厂商 的 紧急 电话 号 码 ， 以 及 员工 所 在 的 位 置 (这 个 位 置 
可 以 指 员 工 在 公司 中 的 物理 位 置 ， 也 可 以 指 员工 在 公司 中 的 职位 ) o 

LDAP 提 供 的 这 种 网 络 信 息 的 通用 结构 ， 使 得 它 可 以 在 TCP/IP 网 
络 中 很 轻易 地 运行 。 最 有 名 的 基于 LDAP 的 系统 或 许 应 该 是 Microsoft 
的 活动 目录 。 在 开源 世界 中 ，OpenLDAP 也 同样 很 受 欢迎 。 

LDAP 目录 的 结构 定义 在 一 个 模式 (schema) 中 。 该 模式 中 包含 
一 组 属性 ， 这 些 属性 定义 了 将 要 存放 在 目录 中 的 数据 。 例 如 ， 一 个 员 
工 记录 的 目录 可 能 包含 员工 姓名 、 地 址 和 usrid 等 属性 。 目 录 中 独立 的 
条 目 为 这 些 属 性 赋值 。 


LDAP 目录 是 以 层次 化 结构 组 织 的 ， 这 与 文件 目录 结构 相同 。 其 
中 每 一 个 条 目 都 一 个 唯一 甄别 名 (Distinguished Name, DN) , CE 
义 了 该 条 目 在 树 中 的 位 置 。 唯 一 柑 别 名 包含 一 个 相对 甄别 名 (Relative 
Distinguished Name, RDN) ， 它 唯一 地 定义 了 其 容器 内 的 条 目 。 此 
外 ， 唯 一 甄别 名 中 还 包含 一 系列 组 件 ， 这 些 组件 定 义 了 条 目 所 在 的 容 
器 层次 结构 〈 见 图 16.4) o 


dn: cn=Ellen Johnson, ou=employees, de=pearson, de=com 


dc=com 


dc=pearson 


ou=employees 


Ellen Beth Randol Kelly 
Johnson Anybody Whoever Whozit 


图 16.4 LDAP DN 包 含 一 个 定义 了 容器 内 条 目的 RDN， 还 包含 定义 了 
容器 层次 结构 的 一 系列 组 件 


一 个 DN 看 起 来 可 能 会 如 下 所 示 : 

dn : cn = Ellen Johnson, ou = employees, dc = pearson, dc = com 

注意 ， 在 等 号 左边 由 两 个 字母 组 成 的 属性 类 型 与 名 称 的 值 相关 。 
LDAP 预先 定义 了 一 些 标 准 的 属性 类 型 ， 它 们 可 以 用 来 定义 唯一 的 杜 
别名 。 这 些 类 型 属性 如 下 所 示 。 

> 域 组 件 (domain component, dc) : 铸 套 容器 链 中 定义 了 目 
录 层 次 结构 的 一 个 条 目 。 在 上 面 的 例子 中 ，dc 条 目 指向 一 个 DNS 域 名 
(person.com) © 以 唯一 甄别 名 为 基础 ， 同 时 结合 一 个 域名 ， 是 现代 
网 络 中 常用 的 一 个 方法 ， 但 是 这 并 不 是 必需 的 。 

> 组 织 单元 (organizational unit, ou) : 对 条 目 进 行 编组 以 方 
便 管 理 的 一 个 容器 。 一 个 ou 可 能 定义 了 多 个 逻辑 组 ， 比 如 一 个 部 门 ， 
而 一 个 dc 更 可 能 反映 的 是 网 络 自身 的 结构 。 


> 规范 名 称 (canonical name, cn) : 对 容器 而 言 唯一 ， 对 用 户 
来 说 便于 识别 的 一 个 对 象 名 称 。 

在 上 面 的 例子 中 ，cn 充 当 RDN， 也 可 以 使 用 另外 一 个 可 以 进行 区 
分 的 属性 ， 比 如 userid 或 雇员 编号 ， 来 充当 唯一 杜 别 名 内 的 RDN : 

dn: userid = ejohnson, ou = Employees，dc = pearson，dc =com 

与 模式 (schema) 相关 的 其 他 属性 可 以 包含 你 想 要 与 条 目 进行 关 
联 的 其 他 参数 ; 

dn: cn = Ellen Johnson, ou = employees, dc = pearson, dc =com 

cn: Ellen Johnson 

userid: ejohnson 

phonenumber: 785-212-2311 

employeeID: 3224177 


LDAP 为 二 进 制 格式 。 上 面 实例 中 的 字母 数字 表示 法 实际 上 是 
LDAP 数据 交换 格式 (LDAP Data Interchange Format, LDIF) ， 它 主 
要 用 于 读 取 和 报告 LDAP 数 据 。 

引用 目录 信息 时 ， 采 用 的 格式 是 传输 给 LDAP 服 务 器 的 URL 形 式 

(第 17 章 将 详细 讲解 URL 和 RUI 等 知识 ) 。 取 决 于 请 求 的 格式 ，URL 
可 能 会 指明 唯一 村 别名 、 与 查询 或 更 新 相关 的 属性 、 定 义 一 个 查找 的 
范围 〈 域 ) 和 过 滤 标准 ， 以 及 LDAP 标 准 中 描述 的 其 他 扩展 。 前 缀 

(或 模式 ) ldap 用 来 将 URL 与 LDAP 协 议 相 关联 。 

下 面 的 URL : 

ldap://ldap.pearson.com/userid=ejohnson, ou=Employees, 
dc=pearson,dc=com 

在 ldap.pearson.com 上 5 引用 了 所 有 属性 ， 这 些 属性 都 与 下 面 的 唯一 
BR a! THER: 


userid=ejohnson, ou=employees, dc=pearson, dc=com 


为 了 指明 一 个 特定 的 属性 ， 需 要 使 用 问号 将 其 包围 起 来 : 

Idap://ldap.pearson.com/userid=ejohnson,ou=Employees,dc=pearson,d 
c=com?phonenumber? 

AXLDAP URL 的 更 多 信息 ， 请 见 RFC 4516。 每 一 个 LDAP 实 现 
都 有 一 组 工具 来 查询 和 更 新 LDAP 目 录 。 许 多 UNIX 和 Linux 提 供 都 支持 
ldapsearch、1ldapmodify 和 1ldapdelete 命 令 行 工 具 。Microsoft 的 活动 目录 
中 包含 一 组 用 户 界 面 工具 ， 可 以 用 来 与 目录 进行 交互 。 

通过 LDAP 来 存储 和 检索 数据 是 完全 有 可 能 的 ， 你 可 以 创建 自己 
的 模式 ， 并 按照 自己 喜欢 的 方式 来 组 织 LDAP 目 录 。 

由 于 LDAP 目录 存储 于 用 户 和 资源 相关 的 信息 ， 因 此 可 以 参与 网 
络 范围 内 的 验证 服务 。 有 时 ，LDAP 也 会 与 其 他 验证 工具 搭配 使 用 ， 
从 而 为 用 户 验 证 LDAP 数 据 存储 提供 更 为 安全 的 方式 。 例 如 ， 可 以 将 
活动 目录 与 Kerberos 验 证 (第 11 章 中 讲 到 ) 相 集 成 。UNIX/Linux 管 理 
员 也 可 以 将 LDAP 与 Kerberos 或 可 插 拔 的 验证 模块 (Pluggable 
Authentication Module, PAM) 系统 组 合 使 用 。 

与 活动 目录 相似 的 大 多 数 LDAP 基 础 设施 都 提供 了 现成 的 模式 选 
项 ， 以 及 一 组 用 户 界面 工具 ， 以 方便 用 户 输入 和 访问 LDAP 信 息 。 
LDAP 服 务 通 常 也 提供 了 一 个 复制 系统 ， 它 可 以 将 多 个 服务 器 上 存储 
的 数据 进行 复制 和 同步 。 复 制 功能 提供 了 容错 机 制 ， 并 提升 了 性 能 ， 
尤其 是 在 大 型 的 多 站 点 网 络 中 。 

像 活动 目录 这 样 的 现成 系统 都 提供 了 标准 的 用 户 和 资源 管理 服 
务 ，LDAP 也 支持 这 些 服务 ， 除 此 之 外 ，LDAP 还 可 以 很 容易 地 适应 自 
定义 应 用 程序 。 在 任何 场景 中 ， 只 要 它 在 需要 对 公共 的 数据 存储 进行 
网 络 查询 ， 或 者 是 想 从 目录 类 型 的 数据 存储 (而 不 是 扁平 式 的 文件 或 
SQL 类 型 的 数据 库 ) 中 获 益 ， 则 可 以 考虑 使 用 LDAP。LDAP 的 模式 框 
架 可 以 很 容易 地 适应 面向 对 象 的 编程 方法 ， 而 且 许多 编程 环境 都 提供 
了 API 和 其 他 工具 ， 从 而 为 LDAP 查 询 其 提供 持 支 持 。 


16.7 小 结 


运行 于 应 用 层 的 网 络 服务 创造 了 丰富 而 且 充 满 活 力 的 用 户 环境 
(也 就 是 Internet) 。 本 章 讲解 了 一 些 重要 的 网 络 服 务 ， 其 中 包括 
FIP、NFS、SMB 和 CIFS， 以 及 LDAP。 此 外 ， 本 章 还 简要 介绍 了 
HTTP 和 E-mail， 这 些 内 容 将 在 后 面 的 章节 详细 介绍 。 


问 : FTP 默 认 的 传输 类 型 是 什么 ? 
答 : ASCI 
问 : 当 用 户 使 用 匿名 账户 连接 FTP 时 ， 通 常 不 允许 使 用 什么 命 


答 : 匿名 用 户 通常 只 有 只 读 访问 权限 ， 因 此 用 户 无 法 对 FTP 服 务 
器 执行 写 文 件 的 命令 ， 以 及 更 改 目录 结构 的 命令 。 这 些 命 令 包 括 put、 
mkdir、rmdir 和 mputo 

问 : 在 绝 大 多 数 的 现代 网 络 中 ，LDAP 的 主要 职责 是 什么 ? 

=: LDAP 维 护 一 个 网 络 和 用 户 信息 的 目录 ， 该 目录 可 以 通过 
TCP/IP 轻 易 访 间 。 


16.9 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


16.9.1 问题 

1. FTP 的 put 命 令 与 nput 命 令 的 区 别 是 什么 ? 

2. 能 否 使 用 TFTP 列 出 目录 中 的 文件 ? 

3. UNIX/Linux Samba 文 件 服务 器 中 使 用 的 文件 服务 协议 是 什 


16.9.2 练习 


在 一 台 真 实 的 匿名 FTP 服 务 器 中 进行 如 下 操作 。 

1. 在 已 经 接 入 Internet 的 计算 机 上 ， 打 开 一 个 终端 或 者 是 带 有 命 
令 提 示 符 的 工具 。 在 Windows 中 ， 在 主 菜单 或 附件 菜单 中 找到 命令 提 
示 符 图 标 。 在 Mac OS 中 ， 在 Utilites 菜 单 中 找到 Terminal 工 具 。 在 Linux 
中 ， 可 以 使 用 批 处 理 提 示 符 终端 ; 具体 信息 ， 请 查看 厂商 提供 的 文 
档 。 

2. 在 终端 窗口 中 ， 输 入 ftp ftp.gnu.org， 访 问 GUN 免 费 软件 项 目 
的 FTP 服 务 器 。 如 果 提 示 输 入 用 户 名 ， 请 输入 anonymous。 在 本 书 编写 
之 时 ， 该 站 点 并 不 要 求 输入 密码 。 如 果 它 现在 要 求 输入 密码 ， 或 者 是 
你 决定 在 另外 一 个 匿名 的 FTP 站 点 上 进行 尝试 ， 可 以 输入 你 的 电子 邮 
件 地 址 作为 密码 。 如 果 登 录 失 败 ， 或 者 是 输入 错误 ， 需 要 从 头 来 过 ， 
一 定 要 确保 在 再 次 输入 上 述 命 令 之 前 ， 先 行 退出 FTP> 提 示 符 。 在 提示 
符 中 输入 quit。 如 果 打 算 通过 FTP> 提 示 符 来 连接 该 站 点 ， 可 以 使 用 
open 命 令 : open ftp.gnu.orgo 

3. 一 旦 登录 成 功 ， 输 入 命令 ls， 列 出 当前 目录 的 所 有 内 容 。 

4. 要 下 载 README 文 件 ， 可 以 输入 get README 命 令 。 为 了 确 
保 README 正 确 地 下 载 到 你 的 计算 机 ， 可 以 在 目录 列表 命令 之 前 添 
加 ! FR: Is! dir (取决 于 你 使 用 的 操作 系统 ) o 

5. 要 进入 gnu 目 录 ， 请 输入 cd ./gnu。 

6. 为 了 检查 更 改 目录 的 操作 是 否 成 功 ， 可 以 输入 pwd， 列 出 当前 
的 工作 目录 。 

7. 当 打 算 结 束 对 FTP 站 点 的 访问 时 ， 可 以 输入 close 来 关闭 连接 ， 
然后 再 输入 quit， 退 出 FTP> 提 示 符 。 


16.10 关键 术语 


复习 下 列 关 键 术语 : 

> 通用 Internet 文件 系统 (CIFS) ; SMB 文件 服务 协议 的 开放 
标准 版 本 ， 最 初 由 Microsoft 进 行 推 广 ， 现 在 用 于 所 有 常见 的 操作 系统 
中 。 

> 目录 服务 : 在 多 个 网 络 中 使 用 的 一 种 信息 服务 ， 它 以 树 状 的 层 
次 化 结构 来 组 织 和 管理 用 户 和 资源 信息 。 

> 唯一 甄别 名 (DN) : 唯一 定义 LDAP 数 据 中 一 个 对 象 的 名 称 。 
它 包 含 一 个 相对 甄别 名 和 一 串 标识 符 ， 这 些 标识 符 用 来 描述 对 象 所 在 
的 容器 的 层次 。 

> 文件 传输 协议 (FTP) : 一 个 客户 端 /服务 器 工具 和 协议 ， 用 
来 在 两 台 计 算 机 之 间 传 输 文件 。 除 了 传输 文件 之 外 ，FTP 工 具 还 可 以 
创建 和 移 除 目 录 ， 并 显示 目录 中 的 内 容 。 

> 轻型 目录 访问 协议 (LDAP) : 用 来 轻松 访问 TCP/IP 上 的 目录 
服务 的 一 个 协议 。 

> LDAP 数 据 交换 格式 (LDIF) : 用 来 显示 LDAP 数 据 的 一 种 便 
于 阅读 的 格式 。 

> 网 络 文系 统 (NFS) : NFS 人 允许 用 户 通过 一 台 NFS 客 户 端 计 算 
机 来 透明 地 访问 位 于 远程 NFS 服 务 器 计算 机 上 的 文件 。 

> 相对 甄别 名 (RDN) : LDAP 对 象 定义 中 红 的 一 个 属性 ， 它 唯 
一 地 识别 了 其 容器 内 的 一 个 LDAP 对 象 。 尽 管 其 他 具有 唯一 值 的 属性 
也 可 以 用 作 RDN， 但 是 通常 使 用 的 是 规范 名 称 。 

> 服务 器 消息 块 (SMB) : SMB 是 一 个 应 用 层 协 议 ， 它 允许 
Windows 客 户 端 访问 诸如 文件 和 打印 机 这 样 的 网 络 资源 。 

> 简单 文件 传输 协议 (TFTP) ; 一 款 基于 UDP 的 客户 端 /服务 器 
的 工具 和 协议 ， 用 于 简单 的 文件 传输 操作 。 
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本 章 介绍 如 下 内 容 : 

> Internet 拓 扑 ; 

> IXP 和 POP ; 

> URI 和 URL。 

在 不 断 扩展 中 的 Internet， 是 当今 世界 上 最 大 的 TCP/IP 网 络 实例 。 
本 章 将 简要 介绍 Internet 的 结构 。 本 书后 面 会 对 Internet 详 细 介 绍 ， 其 中 
包括 万 维 网 (第 18 章 ) 、HTMLS5 (第 19 章 ) 和 Web 服 务 (第 20 章 ) o 

学 完 本 章 后 ， 你 可 以 : 

> 简要 描述 Internet 的 结构 ; 

> 认识 和 描述 “统一 资源 标识 答 ”(Uniform Resource Identifier) 


的 组 件 。 


17.1 Internet 是 什么 样子 的 


要 想 找到 一 个 有 关 Internet 到 底 是 什么 的 描述 ， 您 将 不 得 不 费力 去 
寻找 。 不 乎 的 是 ， 绝 大 多 数 的 Internet 描 述 都 喜 简 弃 繁 ， 只 是 给 读者 留 
下 一 种 含糊 的 印象 ， 即 Internet 只 是 一 条 数据 高 速 公 路 。 

实际 上 ，Internet 拓 扑 结构 的 细节 非常 复杂 ， 很 少 有 专业 的 网 络 管 

理 员 能 够 精确 地 告诉 你 ， 离 开 其 所 辖 线路 的 数据 发 生 了 些 什么 事 。 他 
们 也 不 必 知 道 这 些 。TCP/IP 的 稳定 性 和 多 功能 性 ， 使 得 数据 报 能 够 一 
头 扎 入 Intemet 之 云 ， 然 后 没有 任何 漏 失地 在 地 球 另 一 端 完 全 正确 的 
位 置 显 现 。 在 数据 报 扎 入 Internet 之 云 时 ， 它 去 哪里 了 呢 ? 

最 终 发 展 为 Internet 的 初始 ARPAnet 是 基于 骨干 网 络 的 ， 该 骨干 网 
络 在 不 同 的 参与 机 构 之 间 传 输 流量 。 只 要 你 接 入 到 骨干 网 ， 你 就 可 以 
与 接 入 到 该 骨干 网 的 其 他 网 络 共享 信息 ( 见 图 8.9) 。 美 国 国家 科学 基 
金 会 的 NSFNET 在 1987 年 取代 了 最 初 的 ARPAnet， 它 对 其 容量 进行 了 
扩展 ， 并 增加 了 许多 功能 。 尽 管 如 此 ， 那 时 的 Internet 在 规模 上 仍然 要 
比 今天 的 小 ， 而 且 主 要 是 由 大 学 和 科研 机 构 使 用 。NSFNET 仍 然 基于 
司 一 个 基本 的 骨干 网 络 ， 但 是 其 容量 已 经 进行 了 扩展 。 

随 着 Internet 逐渐 引起 世界 的 关注 ， 骨 干 网 变 得 越 来 越 低 效 ， 而 
且 不 容易 进行 进一步 的 扩展 。 在 20 世 纪 90 年 代 中 期 ， 出 现 了 另外 一 种 
分 散 的 系统 。 今 天 的 Internet 是 大 量 私 有 网 络 的 集合 ， 这 些 私 有 网 络 共 
享 或 出 售 对 其 他 网 络 的 访问 权限 。 在 骨干 网 络 的 核心 是 一 级 网 络 

(Tier 1 Network) 。Verizon、Sprint、AT&T 以 及 Qwest 运营 的 都 是 一 
级 网 络 。 每 一 个 一 级 网 络 都 有 一 个 对 等 安排 (arrangement) ， 它 可 以 
让 一 级 网 络 的 流量 在 一 级 网 络 之 中 自由 传输 (从 理论 上 来 说 应 该 是 这 
样 ; 但 是 两 个 网 络 之 间 真 正 的 合约 安排 通常 不 一 定 能 够 被 第 三 方 网 络 
知道 ， 原 因 是 大 多 数 一 级 网 络 都 是 有 私营 公司 运营 的 ) . BAN—Z 


网 络 幅员 辽阔 ， 为 Internet 提 供 了 全 球 的 连通 性 ， 但 是 一 级 网 络 只 是 
Internet 蓝 图 的 一 部 分 。 

称 为 二 级 网 络 (Tier 2 Network) 的 系统 在 一 级 网 络 的 外 围 运行 。 
二 级 网 络 可 以 出 租 对 一 级 网 络 提供 商 的 访问 权限 ， 但 是 它 也 需要 与 其 
他 二 级 网 络 提供 商 形成 对 等 关系 ， 以 形成 区 域 骨 干 网 ， 并 为 下 游 的 客 
户 提 供 见 余 的 传输 路 径 。 二 级 网 络 提供 商 之 间 的 流量 传输 是 免费 的 ， 
它 通过 把 对 Internet 的 访问 权限 租借 给 三 级 网 络 (Tier 3 Network) R& 
利 。 

三 级 网 络 也 就 是 我 们 经 常 提 到 的 Internet 服 务 提 供 商 (ISP) o = 
级 网 络 从 上 游 提 供 商 (通常 是 二 级 网 络 ) 那里 购买 Internet 访问 权 
限 ， 然 后 通过 将 该 权限 出 售 给 个 体 的 家 庭 和 企业 来 赚钱 。 三 级 网 络 
ISP 将 入 网 点 (Point Of Presense, POP) 连接 (WE 17.1) 租借 给 用 
户 ， 从 而 让 用 户 通过 他 们 的 线路 来 访问 Internet。 
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图 17.1 如 今 的 Internet 是 由 公共 网 络 和 私有 网 络 组 合 而 成 的 多 层 系统 
注意 : 电话 连接 


在 Internet 拓 扑 中 ， 像 Sprint 和 AT&T 这 样 的 电话 公司 是 主要 的 参与 
者 ， 这 并 不 奇怪 。 这 些 长 途 电话 运营 商 的 存在 凸显 了 这 样 一 个 事实 ， 
EN Internet 与 电话 系统 一 样 ， 都 是 通过 将 远 距离 分 布 的 大 量 电缆 连接 起 
来 构成 的 。 

横 跨 Internet (以 及 一 些 ISP) 的 一 级 网 络 和 二 级 网 络 在 称 为 
“Internet 交 换 点 ”(IXP) 的 大 型 交换 设施 处 相交 。Verizon 的 MAE East 
(在 华盛顿 特区 地 区 ) 和 MAE West (在 加 利 福 尼 亚 州 圣何塞 地 区 ) 是 
美国 最 繁忙 的 IXP 中 的 两 个 。IXP 是 大 型 设施 。 几 十 个 甚至 上 百 个 参 
与 网 络 可 以 在 一 个 交换 点 处 相连 。IXP 并 不 提供 路 由 服务 。 相 反 ， 成 
员 网 络 在 IXP 设施 处 提供 的 安全 控件 内 ， 提 供 和 维护 它们 自己 的 路 由 
器 。IXP 设施 本 身 是 一 个 本 地 网 络 ， 它 充当 成 员 网 络 之 间 的 接口 ， 在 
IXP 设 施 内 跨 本 地 网 络 传输 的 流量 通常 由 运行 在 网 络 访问 层 (OSI 的 数 
据 链 路 层 ) 的 交换 机 来 管理 。 

因此 ，Internet 由 几 千 个 交织 在 一 起 的 商业 布局 组 成 ， 其 中 包括 线 
路 、 链 路 终端 的 连接 、 带 宽 租 赁 ， 以 及 为 用 户 、 商 业 和 组 织 提供 服务 
的 数 千家 ISP。 你 可 以 想象 为 什么 通常 将 Internet 描 述 为 云 了 : 从 远 处 
来 看 ，Internet 看 起 来 像 一 个 单独 的 物体 ， 但 是 移 近 后 再 看 ， 你 将 永远 
无 法 真正 找到 其 中 心 ， 因 为 无 论 你 怎么 看 ， 它 就 在 你 周围 。 

Internet 是 一 个 单一 的 实体 ， 并 不 是 因为 它 的 物理 连通 性 ， 而 是 因 
为 : 

> 它 有 一 组 通用 的 规则 ; 

> 它 由 一 群 公共 的 组 织 机 构 来 进行 管理 和 维护 ，; 

> 它 的 语言 是 统一 的 。 

在 第 1 章 中 我 们 知道 ， 管 理 Internet 的 组 织 包 括 “Internet 咨 询 委 员 
=” (IAB) 和 “Internet 工 程 任务 组 ”(IETF) 。Internet 的 语言 当然 就 是 
TCP/IP， 但 是 还 值得 强调 TCP/IP 基 础 结构 的 一 个 重要 元 素 ， 它 为 
Internet 提 供 全 球 规 模 的 消息 接 发 : ICANN 监 管 的 那个 公用 的 命名 和 编 


号 系统 。DNS 命 名 系统 并 不 只 是 第 10 章 中 所 描述 的 名 称 解析 协议 。 全 
球 规模 的 名 称 服务 ， 需 要 巨大 的 人 力 ， 来 管理 那些 控制 Internet 名 称 有 
序 分 配 的 低层 级 组 织 。 如 果 没 有 强大 的 DNS 命名 系统 ，Internet 将 不 会 
像 它 今天 那样 普遍 深入 人 们 的 日 常生 活 。 


17.2 Internet_E 2 


Internet 其 实 就 是 一 个 大 型 的 TCP/IP 网 络 ， 而 且 ， 如 果 你 不 担心 安 
全 性 或 时 间 延 迟 的 话 ， 就 可 以 利用 Internet 来 做 你 可 以 在 路 由 式 公司 
LAN 上 完成 的 几乎 所 有 事 。 当 然 ， 那 些 安 全 考虑 是 很 重要 的 。 你 绝对 
不 应 该 使 用 Internet 来 做 可 以 在 路 由 式 公 司 LAN 上 完成 的 任何 事 ， 但 是 
如 果 你 非 要 这 么 做 ， 确 实 也 是 可 以 的 。 

一 定 要 记 住 ， 所 有 参与 〈Internet 上 或 任何 其 他 网 络 上 ) 某 个 联网 
活动 的 计算 机 ， 都 有 一 个 共同 点 : 它们 都 在 运行 着 为 它们 正 从 事 的 活 
动 而 设计 的 软件 。 联 网 并 未 就 此 发 生 。 它 需要 协议 软件 (例如 第 2 章 到 
第 7 章 讲 解 的 TCP/IP 软 件 ) ， 而 且 在 连接 的 两 端 ， 还 需要 为 相互 通信 而 
设计 的 专用 应 用 程序 。 如 图 17.2 所 示 ，Intemet 上 的 绝 大 多 数 计 算 
机 ， 都 可 以 被 分 类 为 客户 端 (请求 服务 的 计算 机 ) 或 服务 器 (提供 服 
务 的 计算 机 ) 。 客 户 端 计算 机 上 的 客户 端 应 用 程序 ， 是 专门 与 服务 器 
计算 机 上 的 服务 器 应 用 程序 相交 互 的。 服务 器 应 用 程序 则 用 来 倾听 来 
自 客户 端的 请 求 ， 并 对 这 些 请 求 做 出 响应 。 


请 求 


zg payi ee ee 务 器 


响应 
图 17.2 在 Internet 上 ， 计 算 机 通常 充当 客户 端 或 服务 器 


图 17.3 显 示 的 是 整个 群 组 生态 系统 。 坐 在 位 于 世界 上 任何 位 置 的 
一 台 计 算 机 前 的 用 户 ， 可 以 连接 到 世界 各 地 的 成 千 上 万 台 服 务 器 中 的 
任何 一 台 。 一 个 DNS 服 务 器 分 级 系统 会 把 目标 域名 解析 为 一 个 IP 地 址 
(该 过 程 对 于 那 名 用 户 来 说 是 不 可 见 的 ) ， 然 后 该 用 户 计算 机 上 的 客 
户 端 软件 建立 一 个 连接 。 所 连接 到 的 服务 器 ， 可 能 为 该 用 户 提供 浏览 
和 查看 的 网 页 、 即 时 通信 或 者 是 利用 FTP 下 载 的 文件 。 或 者 ， 该 用 户 
有 可 能 正 连 接 到 一 台 邮 件 服务 器 ， 以 下 载 新 邮件 。 
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图 17.3 Internet 是 一 个 从 地 球 上 任何 位 置 均 可 以 访问 的 浩瀚 的 服务 之 海 


刚 开始 时 ， 只 有 几 台 互联 在 一 起 的 大 型 机 ， 现 在 Internet 已 经 出 
乎 最 初 的 专家 和 研究 人 员 的 预期 ， 变 成 了 一 个 四 处 铺 散 的 服务 混合 
体 。 除 了 发 送 电子 邮件 和 在 Web 上 冲浪 外 ， 新 一 代 Internet AP T A 
打 电 话 、 连 接 网 络 视频 、 看 电视 、 下 载 音 乐 、 收 听 播 客 (Podcast) 以 
及 用 博客 (blog) 记录 下 他 们 最 深 的 感受 ， 所 有 这 一 切 均 通过 TCP/PP 
的 神奇 功能 来 实现 。 在 后 面 的 章节 中 ， 你 将 学 到 更 多 有 关 新 型 Web 技 
术 的 内 容 。 


17.3 URI 和 URL 


如 图 17.3 Pia, Intemet 是 一 个 由 请 求 资源 的 客户 端 系统 和 提供 
资产 的 服务 器 系统 组 成 的 巨大 集团 。 可 是 ， 如 果 你 靠近 一 些 查 看 该 过 
程 ， 就 会 认识 到 ， 本 书 前 面 讨论 过 的 协议 编 址 规则 ， 并 不 足以 支持 
Internet 上 可 以 使 用 的 极其 丰富 的 服务 。 耳 地 址 或 域名 可 以 定位 某 台 主 
机 ， 端 口号 可 以 指向 该 主机 上 运行 的 某 个 服务 ， 但 是 ， 客 户 端 请 求 的 
是 什么 ? 服务 器 应 该 做 些 什 么 ? 有 没有 针对 客户 端正 在 请 求 输出 的 输 
入 ? 

专家 们 早已 认识 到 提供 一 种 请 求 Internet 资 产 的 标准 格式 的 重要 
性 。 有 些 专 家 已 经 指出 ， 实 际 上 ， 一 种 统一 请 求 格式 的 存在 ， 正 可 以 
从 另 一 个 方面 说 明 ， 为 什么 Internet 看 起 来 像 是 一 个 巨大 的 有 粘 聚 性 
的 本 体 ， 而 不 仅仅 是 一 堆 杂 乱 的 计算 机 。 

Internet 用 户 最 熟悉 的 请 求 格式 ， 就 是 统一 资源 定位 符 (Uniform 
Resource Locator，URL) 。URL 因 为 那 经 典 的 Web 地 址 格式 而 人 所 共 
Al: http://www.mercurial.orgo URL 现 在 是 如 此 的 普及 ， 以 至 于 不 需要 
对 它们 进行 任何 解释 ， 就 出 现在 电视 广告 和 泡泡糖 包装 纸 上 。 所 谓 
URL， 实 际 上 是 一 种 被 称 为 “统一 资源 标识 符 ” (Uniform Resource 
Identifier, URI) 的 更 一 般 格式 的 一 个 特例 。 这 两 个 首 字母 缩写 词 有 时 
可 以 交替 使 用 ， 但 是 它们 的 差别 也 很 重要 。 最 近 的 Internet 文 档 已 经 设 
法 会 聚 这 两 个 术语 。RFC 3986“Uniform Resource Identifier Generic 
Syntax” 声 明 ， 未 来 的 文档 应 该 使 用 URI 这 个 更 通用 的 术语 来 代替 
URL。 通 常情 况 下 , “标识 符 ” 这 个 术语 要 比 “* 定 位 符 ? 好 ， 因 为 每 一 个 
请 求 并 不 实际 指向 某 个 位 置 。 

有 天 URI 结 构 的 详细 说 明 超 过 60 页 ， 但 是 其 基本 格式 如 下 所 示 : 


scheme://authority/path?query#fragment 


这 里 的 scheme 标 识 用 来 解释 相应 请 求 的 系统 。 这 个 scheme 字 段 通 
常 与 某 种 协议 相关 。 表 17.1 显 示 的 是 当前 Internet 上 使 用 的 一 些 模式 。 
经 典 的 http 模 式 与 Web 地 址 一 同 使 用 。 尽 管 像 gopher 这 样 的 可 选 模式 
没有 它们 曾经 那么 重要 了 ， 但 其 他 的 (例如 ftp) 模式 仍 在 普遍 使 用 。 


表 17.1URI 模 式 


E R | OR 5 考 
file 主机 系统 上 的 一 个 文件 RFC 1738 
fip 文件 传输 协议 RFC 1738 
gopher Gopher 协议 Irre 4266 
http 超 文 本 传输 协议 RFC 2616 
https 安全 超 文本 传输 协议 RFC 2818 
im 即时 通信 | RFC 3860 
Idap 轻 量 级 目录 访问 协议 | RFC 4516 
mailto 电子 邮件 地 址 | REC 2368 
nfs 网 络 文件 系统 协议 RFC 2224 
pop 邮局 协议 v3 RFC2 384 
telnet Telnet 交互 会 话 RFC4 248 


这 里 的 authority a 0) 开头 ， 定 义 与 相应 请 求 相关 
的 用 户 、 主 机 和 端口 。 这 个 authority 组 件 的 完整 表达 可 能 看 起 来 像 : 

//joeyesterday 8042 

在 第 6 章 讲 到 ， 通 常会 有 一 个 默认 的 端口 号 与 相应 的 协议 相关 ， 因 
此 该 端口 号 单单 被 省 略 。 Aaa 在 用 户 必须 提供 证 书 才能 访问 相应 
的 资源 时 〈 这 对 于 Web 来 说 很 罕见 ， 但 是 对 于 类 似 FTP 的 协议 来 说 很 常 
见 ) 是 必需 的 。 

注意 : 登录 

即使 用 户 被 要 求 提供 证 书 ， 你 仍 可 能 不 需要 在 URI 中 指定 用 户 。 
许多 服务 在 初始 请 求 之 后 ， 会 提示 用 户 输入 用 户 ID 和 密码 。 

没有 用 户 和 端口 ， 这 个 authority 字 段 看 起 来 更 像 是 我 们 都 理解 的 
基本 的 Web 地 址 : 

//www.bonzai.com 

或 者 加 上 scheme 组 件 : 


http://www.bonzai.com 


在 这 个 示例 中 ， 主 机 被 表示 为 一 个 DNS 域名 ， 但 是 您 也 可 以 通过 
主机 IP 地 址 来 引用 它 。 

这 里 的 path 组 件 穿 过 一 个 目录 结构 ， 一 直到 相应 请 求 的 主体 文 
件 。 在 http 情 况 下 ， 如 果 这 个 path 被 省 略 ， 那 么 请 求 将 指向 相应 域 的 一 
个 默认 网 页 (主页 。Web 页 面 的 默认 文件 名 通常 是 index.html。 绝 大 
多 数 用 户 现在 已 熟悉 在 域名 之 后 输入 额外 目录 和 文件 名 的 需要 : 

http://www.bonzai.com/trees/LittleTrees.pdf 

URI 的 query 和 fragment 组 件 很 少 由 人 来 输入 或 解释 。 这 两 个 组 
件 的 精确 含义 可 以 随 scheme 而 变化 ， 而 且 有 些 scheme 甚 至 不 支持 query 
和 fragment 组 件 。 在 自然 环境 下 观察 这 个 query 字 段 的 最 容易 的 方法 
是 ， 在 像 Google 这 样 的 搜索 引擎 中 输入 一 个 搜索 请 求 ， 然 后 检查 地 址 
栏 中 出 现 的 URI。 

前 面 那个 示例 在 万 维 网 上 使 用 的 、 非 党 流行 的 HTTP 协议 环境 中 考 
虑 了 URI。 可 是 请 记 住 ， 每 一 个 不 同 的 模式 规范 都 可 以 定义 如 何 解释 
URI 中 的 信息 。URI 的 通用 规范 有 意 与 每 一 种 模式 规范 中 定义 的 细节 相 
分 离 ， 从 而 使 得 那些 模式 不 需要 更 改 基 本 格式 即 可 有 所 发 展 。 表 17.1 
还 列 出 了 与 每 一 种 模式 相关 的 RFC。 


17.4 小 结 


Internet 由 世界 各 处 请 求 和 提供 服务 的 计算 机 组 成 。 组 成 Internet 的 
网 络 分 为 3 中 基本 的 类 别 : 一 级 网 络 与 一 级 网 络 之 间 存 在 的 是 可 以 自由 
传输 流量 的 对 等 关系 ; 二 级 网 络 之 间 也 存在 对 等 的 关系 ， 但 是 需要 向 
一 级 网 络 购买 了 传输 安排 (arrangement) ; 三 级 网 络 〈 比 如 典型 的 本 
地 ISP) 从 其 上 游 提 供 商 处 购买 Internet 连 通 性 ， 然 后 再 将 Internet 访 问 
权限 出 售 给 商业 用 户 和 个 人 用 户 。 

URI 格 式 为 标识 和 定位 那些 资源 提供 了 一 种 标准 方法 。 不 过 ， 所 
有 这 些 协 议 均 不 同 ， 而 且 通 信 的 细节 随 服 务 而 变 。 本 书后 面 的 章节 会 
讲解 一 些 如 今 运 行 在 Internet 上 的 关键 服务 。 
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问 : 为 什么 Internet 当 局 想 取代 常见 的 术语 URL 呢 ? 

E: 统一 资源 定位 符 (URL) 是 通用 术语 “统一 资源 识别 符 
(URI) ”的 一 个 特例 。 专 家 只 所 以 更 喜欢 通用 术语 URI， 是 因为 识别 
符 (identifier) 有 时 并 不 说 明 一 个 位 置 ， 而 是 可 能 会 包含 额外 的 信 
息 。 

al: 为 什么 有 一 些 亚洲 和 东欧 国家 ， 提 出 针对 DNS 和 URI 格 式 ， 
启动 它们 自己 的 独立 方案 ? 

E: 对 于 使 用 非 拉丁 字符 语言 交谈 的 用 户 来 说 ， 拉 丁字 符 集 的 约 
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17.6 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


17.6.1 问题 
. 一 级 网 络 和 二 级 网 络 之 间 的 区 别 是 什么 ? 
. scheme 在 URI 中 的 作用 是 什么 ? 
.scheme 位 于 URI 的 哪个 位 置 ? 
.Internet 中 常用 的 4 个 scheme 是 什么 ? 
5. 在 URI 的 目的 目录 中 ， 如 果 删 除了 文件 名 ， 则 大 多 数 Web 服 务 
器 在 默认 情况 下 会 发 送 什么 文件 ? 
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17.6.2 4K= 


1. 在 Google 或 Bing 中 输入 一 个 搜索 条 目 ， 然 后 来 研究 返回 的 
URI。 主 流 的 搜索 引擎 通常 会 返回 一 个 显 式 的 结果 ， 因 此 你 应 该 很 容 
易 就 可 以 发 现 一 个 完全 聚合 的 搜索 URI。 试 着 将 单词 拼 错 ， 然 后 单 击 
“Did you mean” 链 接 。 当 你 发 现 一 个 搜索 URI 时 ， 请 确定 其 scheme、 


path 和 查询 部 分 。 
2. 如 果 有 这 样 一 个 Web 站 点 或 FTP 站 点 ， 通 常 只 要 求 你 在 对 话 


框 中 输入 你 的 证 书 ， 然 后 就 可 以 登录 进去 。 现 在 请 将 你 的 用 户 名 添加 
到 URI 中 ， 看 能 否 登录 成 功 (取决 于 服务 器 的 配置 ， 该 操作 可 能 不 一 
定 成 功 ) 。 
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复习 下 列 关 键 术 语 : 

> Authority: URI 的 一 部 分 ， 标 识 主 机 、 用 户 和 端口 。 

> Internet 交 换 点 (IXP) : 提供 Internet 访 问 的 一 种 设施 。 

> 对 等 (peering) : 在 一 对 Internet 提 供 商 网 络 之 间 的 一 种 自由 
传输 布局 。 参 与 网 络 同意 在 连接 之 中 免费 共享 流量 。 

> 入 网 点 (POP) : ISP 出 租 的 连 向 Internet 的 附着 点 。 

> 模式 (scheme) : URI 的 一 部 分 ， 标 识 用 来 解释 URI 其 余部 分 
的 协议 或 系统 。 

> 一 级 网 络 : 位 于 Internet 中 心 的 几 个 大 型 网 络 之 一 ， 它 参与 到 
相互 对 等 布局 的 系统 中 。 

> 二 级 网 络 : Internet 基 础 设置 之 中 的 一 个 中 间 级 网 络 ， 它 可 能 
将 从 其 他 网 络 处 购买 到 的 Internet 访 问 权 限 出 售 给 另外 的 网 络 ， 并 且 和 与 
其 他 二 级 网 络 形成 对 等 关系 。 

> 三 级 网 络 : 将 Internet 访 问 权 出 售 给 商业 用 户 和 终端 用 户 的 零 
售 级 别 的 Internet 网 络 ， 它 是 从 其 上 有 提供 商 处 (通常 是 二 级 网 络 ) 购 
买 的 Internet 访问 权限 。 许 多 本 地 的 ISP 就 是 三 级 网 络 。 

> 统一 资源 标识 符 (URI) : 用 来 标识 Intermet 资 源 的 一 种 字母 数 


> 统一 资源 定位 符 (URL) : 一 种 定位 资源 的 URI。Web 地 址 


(www.sams.com) 是 一 种 常见 的 URL 形 式 。 


第 18 章 HTTP、HTML 和 万 维 网 


本 章 介绍 如 下 内 容 : 

> HTML; 

> HTTP; 

> Web 浏 览 器 。 

万 维 网 开始 时 是 Internet 的 一 种 通用 图 形 显示 框架 。 从 其 一 开 
台 ，Web 就 一 直 支 配 着 公众 对 Internet 的 感知 ， 而 且 它 已 经 根本 改变 
7 3686 用 程序 界面 的 方式 。 本 章 将 介绍 HTTP、HTML 和 Web。 

完 本 章 后 ， 你 可 以 : 
ae 
> 使 用 文本 和 HTML 标 记 ， 构 建 一 个 基本 的 网 页 
> 讨论 HTTP 协 议 ， 并 描述 它 是 如 何 工作 的 。 


18.1 什么 是 万 维 网 


你 通过 Web 浏 览 器 窗口 看 到 的 网 页 视图 ， 是 该 浏览 器 与 某 台 Web 
服务 器 计算 机 之 间 会 话 的 结果 。 用 于 那 种 会 话 的 语言 被 称 为 超 文 本 传 
输 协 议 (HTTP) 。 从 服务 器 交付 给 客户 端的 数据 ， 是 一 种 制作 精巧 的 
文本 、 图 像 、 地 址 和 格式 代码 混合 体 ， 通 过 一 种 奇妙 的 通用 格式 化 语 
言 一 一 超 文 本 标记 语言 (HTML) ， 呈 递 给 统一 标准 的 文档 。 

我 们 当前 知道 的 万 维 网 的 基本 要 素 ， 是 Tim Berners-Lee 于 1989 年 
在 瑞士 日 内 瓦 CERN 研 究 所 创建 的 。Berners-Lee 通 过 汇聚 当时 已 经 在 
研发 的 3 种 技术 ， 创 建 了 一 种 精巧 且 功 能 强大 的 信息 系统 。 

> 标记 语言 : 一 种 藤 入 在 文本 中 的 指令 和 格式 化 代码 系统 。 

> 超 文 本 : 一 种 将 链接 嵌入 文档 、 图 像 和 其 他 文本 中 元 素 的 方 
23 

> Internet: 《正如 现在 知道 的 那样 ) 一 种 全 球 性 的 计算 机 网 
络 ， 通 过 TCP/P， 客 户 端 请 求 服务 ， 服 务 器 提供 服务 。 

作为 向 早期 计算 机 使 用 的 简单 文本 添加 格式 化 和 排版 代码 的 一 种 
方法 ， 标 记 语 言 始 于 20 世 纪 60 年 代 。 在 那 时 ， 整 个 计算 世界 里 ， 配 置 
文件 、 在 线 帮助 文档 和 电子 邮件 消息 均 使 用 文本 文件 。 在 人 们 开始 使 
用 计算 机 编写 信 汶 、 和 备忘录 和 其 他 精美 文档 之 时 ， 他 们 需要 一 种 方法 
来 指定 像 标 题 行 、 和 斜体 子 、 粗 体 子 和 页 边 距 这 样 的 要 素 。 一 些 早期 的 
标记 语言 (比如 现在 还 在 使 用 的 TeX) 是 作为 奉 科 学 家 们 格式 化 和 排 
版 数学 公式 的 方法 而 开发 的 。 

到 现代 字 处 理 程序 开始 出 现时 ， 广 商 们 已 经 开发 了 大 量 系统 (其 
中 很 多 是 专 有 的 ) ， 用 于 将 格式 化 信息 编码 进 文 本 文档 。 其 中 一 些 系 
统 使 用 基于 ASCII 的 代码 。 有 些 则 使 用 不 同 的 数字 标记 符 来 表示 格式 
化 信息 。 

注意 : 兼容 性 


当然 ， 只 有 编写 文档 的 应 用 程序 和 读 取 文 档 的 应 用 程序 就 每 一 个 
代码 的 含义 达成 一 致 时 ， 这 些 格式 化 代码 系统 才 会 起 作用 。 

Berners-Lee 和 其 他 HTML 先驱 者 们 想 要 一 种 通用 的 、 独 立 于 厂商 
的 系统 ， 用 于 编码 格式 信息 。 他 们 和 希望 这 种 标记 系统 不 仅 包 括 排版 代 
码 ， 同 时 包括 对 图 像 文件 的 引用 和 指向 其 他 文档 的 链接 。 

超 文本 的 概念 《文本 内 的 活 链接 ， 用 于 将 视图 切换 至 该 链接 中 引 
用 的 文档 ) 也 在 20 世纪 60 年 代 逐 渐 形 成 。Berners-Lee 通 过 开发 URL， 
将 超 文 本 概念 带 至 Internet。 链接 使 得 阅读 者 能 够 轻松 地 查看 在 线 信 
息 。 阅 读者 可 以 选择 是 否 链接 至 另 一 个 页 面 查 看 更 多 信息 。HTML X 
档 可 以 被 装配 进 统一 标准 的 页 面 和 链接 系统 〈 见 图 18.1) 。 根 据 访问 
者 在 那些 链接 中 来 回 穿行 的 情况 ， 可 以 找到 一 条 不 同 的 路 径 来 穿 过 那 
些 数 据 。 同 时 ，Web 开发 人 员 可 以 几乎 之 无 限制 地 定义 某 个 链接 将 指 
向 的 位 置 。 该 链接 可 以 指向 相同 目录 下 的 另 一 个 HTML 文 档 、 不 同 目 
录 下 的 某 个 文档 、 乃 至 另 一 台 计 算 机 上 的 某 个 文档 。 这 里 的 链接 可 能 
通 往 地 球 另 一 边 另 一 台 计 算 机 上 一 个 完全 不 同 的 网 站 。 


图 18.1 网 站 是 一 个 统一 标准 的 页 面 和 链接 系统 


第 17 章 讲 到 ， 与 Web 最 相关 的 URL 形 式 是 

http://www.dobro.com 

而 且 还 经 常 可 以 看 到 ， 这 种 URL 附 加 有 某 个 路 径 和 文件 名 : 

http://www.dobro.com/techniques/repair/fix.html 

Web 浏 览 器 通过 URL 进 行 导航 。 用 户 通过 在 浏览 器 窗口 的 地 址 栏 
中 输入 相应 页 面 的 URL 来 访问 网 页 ( 见 图 18.2) 。 单 击 某 个 链接 ， 浏 
览 器 就 会 打开 该 链接 URL 中 所 指定 的 网 页 
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下 面 总 结 一 下 这 个 简要 介绍 ， 一 个 基本 的 HTML 文 档 包 含 下 面 这 
些 元 素 : 

> NZ; 

> 图 形 ，; 

> 文本 格式 化 代码 (字体 和 布局 信息 ) ; 

> 对 像 图 形 文件 这 样 的 辅助 文件 的 引用 ; 

> 指向 其 他 HTML 文 档 或 当前 文档 中 其 他 位 置 的 链接 。 

为 了 访问 某 个 网 站 ， 用 户 在 Web 浏览 器 窗口 中 输入 该 网 站 的 
URL。 浏 览 器 发 起 一 个 到 此 URL 中 所 指定 Web 服 务 器 的 连接 。 该 服务 


器 越过 网 络 向 Web 浏览 器 发 送 HTML 数据 。Web 浏 览 器 解释 所 收 到 的 
HTML 数 据 ， 创 建 在 浏览 器 窗口 中 显示 的 网 页 视图 。 


18.2 HTML 


HTML 是 通过 HTTP 进 程 传输 的 负 倚 。HTML 文 档 包括 文本 、 格 式 
化 代码 、 对 其 他 文件 的 引用 和 链接 。 在 使 用 某 个 文本 处 理应 用 程序 
(例如 Windows 系统 记事 本 或 UNIX 系统 的 vi) 查看 基本 HTML 文档 
的 内 容 时 ， 你 会 发 现 该 文档 实际 上 就 是 一 个 普通 的 文本 文件 。 这 个 文 
件 包 含 所 有 将 会 随 相应 的 页 面 显示 的 文本 ， 而 且 它 还 包括 许多 称 为 标 
id (tag) 的 专用 HTML 人 代码。 标记 是 针对 浏览 器 的 指令 ， 它 们 并 不 像 
编写 的 那样 在 网 页 上 显示 ， 但 是 它们 会 影响 数据 显示 的 方式 和 页 面 表 
现 的 方式 。HTML 标 记 提供 与 某 个 网 页 相关 的 所 有 格式 化 、 文 件 引 用 
和 链接 。 一 些 重要 的 HTML 标 记 如 表 18.1 所 示 。 


表 18.1 一 些 重要 的 HTML 标 记 


标 记 


<HTML> 标记 文件 中 HTML 内 容 的 开始 与 结束 
<HEAD> 标记 标题 部 分 的 开始 与 结束 
<BODY> 标记 主体 部 分 的 开始 与 结束 ， 该 部 分 描述 将 会 在 浏览 器 窗口 中 显示 的 文本 


<HI>, <H2>, <H3>, 
<H4>、<H5> 和 <H6> 


标记 某 个 标题 的 开始 与 结束 。 每 个 标题 标记 代表 一 个 不 同 的 标题 等 级 。<Hl> 是 最 高 的 等 级 


<B> 标记 粗 体 字 文 本 部 分 的 开始 与 结束 

<U> 标记 下 划 线 文本 部 分 的 开始 与 结束 

<p> 标记 斜体 字 文 本 部 分 的 开始 与 结束 

<FONT> 标记 特定 字体 特征 部 分 的 开始 与 结束 。 一 些 可 用 的 字体 属性 ， 见 表 18.2 

<A> 定义 一 个 锚 ， 通 常用 来 标记 某 个 链接 。 该 链接 的 目的 URL 显示 在 第 一 个 <A> 标 记 中 ， 作 为 HREF 
属性 的 值 

<IMG> 指定 应 该 在 文本 中 出 现 的 图 像 文 件 。 该 文件 URL 出 现在 这 个 标记 中 ， 作 为 SRC 属性 的 值 


当然 ，HTML 标 记 还 有 很 多 ， 一 张 表格 根本 不 够 用 。 许 多 标记 会 
应 用 到 某 个 文本 块 。 在 那 种 情况 下 ， 标 记 出 现在 文本 块 的 开始 与 结束 
处 。 文 本 块 结尾 处 的 标记 包括 斜 线 字 符 N) ， 以 表示 它 是 结束 标记 。 
换 名 话说， 一 个 H1 标 题 的 标注 会 像 下 面 那样 放置 标记 : 

<H1>Dewey Defeats Truman</H1> 

HTML 文 档 应 该 以 一 个 <!IDOCTYPE> 声 明 开 始 。 这 个 !IDOCTYPE 
定义 当前 文档 所 使 用 的 HTML 版 本 。 对 于 HTML 4.0， 相 应 
的 DOCTYPE 命 令 为 : 

<!DOCTYPE HTML PUBLIC "-//W3C/DTD HTML 4.0//EN"> 

(使 用 特定 浏览 器 扩展 的 网 页 可 能 会 指定 一 个 不 同 的 文档 类 型 ) 

大 多 数 浏 览 器 并 不 要 求 上 述 !IDOCTYPE 语句 ， 而 且 许多 HTML F 
册 甚 至 都 不 讨论 !IDO CTYPE. 

在 此 !DOCTYPE 语 句 之 后 是 <HTML> 标 记 。 文 档 的 其 余部 分 都 封 
装 在 这 个 <HTML> 标 记 和 当前 文件 最 后 一 个 对 应 的 </HTML> 标 记 之 
间 。 在 这 起 始 和 结束 <HTML> 标 记 之 内 ， 文 档 被 分 为 以 下 两 个 部 分 。 


> 文档 报头 (封装 在 <HEAD> 和 </HEAD> 标 记 之 间 ) 包含 有 关 
当前 文档 的 信息 。 虽 然 ， 其 中 的 <TITLE> 标 记 会 指定 一 个 将 出 现在 浏 
览 器 窗口 标题 栏 中 的 标题 ， 但 是 文档 报头 中 的 信息 并 不 会 出 现在 网 页 
上 。 这 里 的 <TITLE> 是 一 个 必需 的 要 素 。<HEAD> 部 分 的 其 他 要 素 都 
是 可 选 的 ， 比 如 用 于 指定 有 关 文 档 样 式 信 息 的 <STYLE> 标 记 。 要 想 更 
多 了 解 <STYLE>， 请 查看 某 个 HTML 文 本 。 

> 文档 主体 (封装 在 <BODY> 和 </BODY> 标 记 之 间 ) 是 会 实际 
出 现在 网 页 上 的 文本 ， 以 及 与 该 文本 相关 的 所 有 HTML 标 记 。 

一 个 简单 的 HTML 文 档 大 致 如 下 所 示 : 

<!DOCTYPE HTML PUBLIC "-//W3C/DTD HTML 4.0//EN"> 

<HTML> 

<HEAD> 

<TITLE> Ooh This is Easy </TITLE> 

</HEAD> 

<BODY> 

Easy! 

</BODY> 

<HTML> 

如 果 你 把 上 面 这 段 HTML 保存 为 一 个 文本 文件 ， 然 后 用 Web 浏 
览 器 打开 那个 文件 , “Easy!” 就 会 出 现在 相应 的 浏览 器 窗口 中 (根据 所 
用 浏览 器 和 操作 系统 的 不 同 ， 你 可 能 需要 使 用 .htm 或 .html 扩 展 名 来 保 
存 这 个 文件 ， 或 者 是 把 它 当 作 一 个 HTML 文 件 来 打开 ) 。 浏 览 器 标题 
栏 将 包含 “Ooh This is Easy” 标 题 ( 见 图 18.3) o 
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图 18.3 一 个 非常 简单 的 网 页 示例 


你 可 以 在 文档 主体 部 分 中 ， 添 加 一 些 文本 和 格式 化 ， 使 这 个 页 面 
活跃 起 来 。 下 面 这 个 示例 添加 了 用 于 标题 的 <H1> 和 <H2> 标 记 、 用 于 
段落 的 <P> 标 记 、 用 于 粗 体 的 <B> 标 记 、 用 于 斜体 的 <I> 标 记 和 用 于 字 
体 信 息 的 <FONT> 标 记 。 注 意 ， 这 里 的 <FONT> 标 记 包 括 一 个 属性 。 属 
性 是 封装 在 相应 标记 内 的 参数 ， 用 来 提供 额外 的 信息 。 其 他 字体 属性 
如 表 18.2 所 示 。 

<!DOCTYPE HTML PUBLIC "-//W3C/DTD HTML 4.0//EN"> 

<HTML> 

<HEAD> 

<TITLE> Ooh This is Easy </TITLE> 


</HEAD> 

<BODY> 

<H1>The Easy and Hard of HTML</H1> 

<P><U>Webster's Dictionary</U> defines HTML as <I>"a small snail 
found originally in the Canary Island and ranging how to the Archipelago 
of Parakeets." </I> I borrow from this theme in my consideration of HTML 
as a </P><H2>HTML is Easy</H2> 

<P>HTML is easy to learn and use because everyone reacts to it 
energetically. You can walk into a bar and start speaking HTML, and the 
man beside You will <B>happily</B> tell You his many accomplishments. 
</P> 

<H2>HTML is Hard</H2> 

<P>HTML is hard because the options are bewildering. You never 
know when to use <FONT SIZE=1>small text</FONT> and when to use 
<FONT SIZE=7>big text</FONT>.</P> 

</BODY> 

</HTML> 

上 述 示例 在 浏览 器 中 的 显示 如 图 18.4 所 示 。 
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The Easy and Hard of HTML 


Webster's Dictionary defines HTML as “a small snail found originally in the Canary Islands and ranging now to the 
Archipelago of Parakeets." I borrow from this theme in my consideration of HTML as a language that is both easy and hard 


HTML is Easy 


HTML is easy to leam and use because everyone reacts to £ energetically. You can walk into a bar and start speaking HTML, 
and the man beside you will happily tell you his many accomphshments 


HTML is Hard 


HTML is hard because the options are bewildenng You never know when to use adta and when to use b is 


text 


图 18.4 对 前 面 的 简单 示例 进行 扩展 


3218.2 HTML <FONT> 标 记 属 性 


BE 性 描 Y 


SIZE | 相对 字体 大 小 设置 。 值 从 1 到 7: <FONT SIZE=7> 
LANC | 标志 文本 编写 所 用 语言 的 语言 代 和 

FACE | 字体 设置 <FONT FACE="Arial”> 

COLOR 文本 颜色 : <FONT COLOR="RED"> 


正如 你 在 本 章 前 面 所 学 到 的 那样 ， 超 文本 链接 是 web 设 计 的 一 个 
重要 元 素 。 一 个 链接 就 是 对 另 一 个 文档 或 者 是 当前 文档 的 另 一 部 分 的 
5 引用。 如果 用 户 单 击 相应 链接 的 突出 显示 文本 ， 当 前 浏览 器 就 会 立即 
打开 该 链接 所 引用 的 文档 。 最 终 的 效果 就 是 ， 用 户 看 上 去 就 像 是 轻快 
地 穿行 在 一 个 丰富 多 彩 的 无 尽 的 花园 里 。 

注意 : 什么 是 浏览 器 ? 

当 你 在 这 个 多 彩 的 花园 里 轻快 地 穿行 时 ， 可 以 偶尔 停 下 来 ， 把 浏 
览 器 这 个 术语 别出心裁 地 看 作 一 头 正在 树林 里 吃 叶 子 的 长 颈 鹿 或 者 是 
Kio 

HTML 文 件 中 的 链接 以 标记 形式 出 现 。 链 接 的 最 简单 形式 使 用 
<A> 标 记 ， 以 及 链接 目的 地 的 URL 作 为 HREF 属 性 的 值 。 例 如 ， 在 前 面 
那个 示例 中 ， 如 果 你 愿意 将 “Archipelago of Parakeets” 这 些 单词 显示 为 
超 文 本 ， 从 而 有 一 个 链接 指向 一 个 介绍 有 关 该 群岛 信息 的 网 站 ， 请 把 
这 些 单词 封装 进 <A> 标 记 ， 如 下 所 示 : 

ranging now to the <A 
HREF="http://www.ArchipelagoParakeets.com"> Archipelago of 
Parakeets</A>. I borrow from this theme 

通用 的 HTML 格式 包括 许多 附加 的 选项 。 你 可 以 在 一 张 图 片 内 放 
置 一 个 热 区 链接 ， 还 可 以 针对 预先 格式 化 好 的 段 沙 样式 ， 使 用 特殊 的 
标记 ， 创 建 你 自己 的 样式 表 。 你 可 以 使 用 表格 、 分 栏 、 表 单 和 框架 来 
组 织 网 页 ， 还 可 以 添加 单 选 按 钮 、 复 选 框 和 下 拉 菜 单 。 在 HTML 早 
期 ， 设 计 人 员 使 用 文本 编辑 器 ， 直 接 在 其 文档 中 编码 所 有 HIML (就 


像 前 面 那 几 个 示例 一 样 ) 。 专 业 的 Web 设计 人 员 现 在 使 用 专用 的 Web 
开发 程序 进行 工作 ， 比 如 Adobe 公司 的 Dreamweaver 或 者 是 Microsoft 
公司 的 FrontPage， 它 们 可 以 隐藏 HTML 的 细节 ， 从 而 使 得 设计 人 员 能 
够 像 页 面 将 会 呈现 给 用 户 的 那样 来 查看 它 。 诸 如 维基 和 “内 容 管 理 系 
统 ”(CMS) 之 类 的 新 工具 ， 为 之 不 费力 的 Web 设 计 提 供 了 额外 的 选 
项 。 

预先 成 型 的 静态 HTML 文 档 仍 在 广泛 使 用 ， 但 是 许多 网 站 现在 使 
用 动态 HTML 技 术 ， 在 被 请 求 时 再 生成 相应 的 Web 内 容 。 

注意 : 大 写字 母 

对 于 传统 的 HTML 标 记 ， 大 写字 和 母 是 没有 什么 区 别 的 ; 不 过 ,后 
来 的 标准 (比如 XML 和 XHTML) 对 大 写字 和 母 给 予 了 更 多 关注 。XML 
区 分 大 小 写 ， 而 XHTML 要 求 小 写 的 元 素 和 属性 名 称 。 


18.3 HTTP 


正如 你 在 前 面 学 到 的 那样 ，Wweb 服务 器 和 浏览 器 使 用 超 文本 传输 
协议 (HTTP) 进行 通信 。HTTP (1.1) 在 RFC 2616 中 就 有 描述 ， 而 以 后 
的 文档 扩展 了 HTTP 功 能 。HTTP 的 目的 是 支持 HTML 文 档 的 传输 。 
HTTP 是 一 种 应 用 层 协议 。HTTP 客 户 端 和 服务 器 应 用 程序 使 用 可 靠 的 
TCP 传 输 协议 建立 连接 。 

HTTP 可 以 完成 以 下 工作 : 

> 在 浏览 器 (客户 端 ) 和 服务 器 之 间 建 立 一 个 连接 ; 

为 会 话 协商 设置 和 确定 参数 ; 

> 为 HTML 内 容 的 有 序 传 输 作 准备 ; 

关闭 与 上 述 服务 器 的 连接 。 

尽管 Web 通 信 的 特性 已 经 变 得 极其 复杂 ， 绝 大 部 分 复杂 性 与 服务 
器 如 何 构建 HTML 内 容 和 浏览 器 如 何 处 理 a m 到 的 内 容 相关 。 通 
过 HTML 传 输 内 容 的 实际 过 程 ， 相 对 来 说 ， 还 是 整齐 有 序 的 。 

当 你 在 浏览 器 窗口 中 输入 一 个 URL 时 ， ee 那个 URL 
的 描述 ， 以 确定 相应 的 协议 (除了 HTTP 之 外 ， 绝 大 多 数 Web 浏 览 器 还 
支持 其 他 协议 ) 。 如 果 浏 览 器 确定 该 URL3 引 用 某 个 HTTP 站 点 上 的 资 
源 ， 那 么 它 就 会 从 那个 URL 提 取 相 应 的 DNS 名 称 ， 并 启动 名 称 解析 进 
程 。 客 户 端 计算 机 向 一 个 名 称 服务 器 发 送 DNS 查 找 请 求 ， 并 接收 该 服 
务 器 的 IP 地 址 。 浏 览 器 然后 利用 该 服务 器 的 IP 地 址 ， 启 动 一 个 与 此 服 
务 器 的 TCP 连 接 (有 关 TCP 的 更 多 内 容 ， 请 见 第 6 章 ) o 

注意 : 持久 性 

在 比较 早 的 HTTP 版 本 中 (1.1 版 之 前 ) ， 客 户 端 和 服务 器 为 传输 
的 每 一 项 ， 打 开 一 个 新 的 TCP 连 接 。HTTP 的 近期 版 本 允许 客户 端 和 服 
务 器 维持 一 个 持久 连接 。 


在 上 述 TCP 连 接 建立 之 后 ， 浏 览 器 将 使 用 HTTP GET 命 令 ， 向 该 服 
务 器 请 求 相 应 的 网 页 。 这 个 GET 命 令 包 含 浏 览 器 正在 请 求 的 资源 
URL， 以 及 浏览 器 想 要 为 此 事务 使 用 的 HTTP 版 本 。 在 gd 
下 ， 浏 览 器 可 以 随 此 GET 请 求 发 送 相 对 URL (而 不 是 整个 URL) , 
为 与 相应 服务 器 的 连接 已 经 建立 好 了 : 

GET /watergate/tapes/transcript HTTP/1.1 

在 这 个 GET 命 令 之 后 ， 可 能 会 跟着 几 对 其 他 可 选 的 field:value， 指 
定 像 语 言 、 浏 览 器 类 型 和 可 接受 的 文件 类 型 之 类 的 设置 。 

服务 器 响应 包括 一 个 报头 ， 后 门 跟着 所 请 求 的 文档 。 响 应 报头 的 
格式 如 下 所 示 : 

HTTP/1.1 status_code reason-phrase 

field:value 

field:value... 

这 里 的 状态 代码 ， 是 一 个 描述 请 求 状态 的 三 位 数 。 这 里 的 reason- 
phrase (原因 分 析 ) 是 对 该 状态 的 一 个 简要 描述 。 一 些 常见 的 状态 代 
码 如 表 18.3 所 示 。 可 以 看 到 ， 该 代码 最 左边 的 那 位 标识 一 种 通用 分 
类 。 该 位 为 1， 表 示 提 供 信息 ; 该 位 为 2， 表 示 成 功 ; 该 位 为 3， 表 示 重 
定向 ;该 位 为 4， 表 示 一 个 客户 端 错误 ;该 位 为 5， 表 示 一 个 服务 器 错 
误 。 你 可 能 很 熟悉 那个 著名 的 404 代 码 ， 它 经 常 在 找 不 到 页 面 或 URL 输 
入 错误 时 出 现 。 与 客户 端 请 求 类 似 ， 服 务 器 响应 也 可 以 包括 许多 可 选 
的 field:value 对 。 其 中 一 些 报 头 字段 如 表 18.4 所 示 。 浏 览 器 不 能 理解 的 
任何 字段 都 将 被 忽略 。 


表 1 — ¡tb 
8.3 一 些 常 见 的 HTTP 状 态 人 码 


请 求 正在 进行 中 
请 求 成 功 

请 求 已 被 接受 且 正 在 处 理 中 ， 但 尚未 完成 
资源 有 个 新 地 址 


302 
400 
401 
404 
406 
500 
503 


描 
资源 有 个 新 的 临时 地 址 
服务 器 不 认可 这 个 请 求 
授权 失败 
所 请 求 的 资源 不 存在 
内 容 将 不 被 浏览 器 所 接受 
服务 器 遭遇 错误 
服务 器 过 载 或 不 在 工作 


述 


表 18.4 HITP 报 头 字 段 示例 


字 E 值 必 须 是 描 $ 
Content-Length 整数 内 容 对 象 以 八 位 字 节 为 单位 的 大 小 
Content-Encoding X-COMPress, X-gzip 表示 与 当前 消息 相关 的 编码 类 型 的 值 
Date RFC 850 中 定义 的 标准 日 期 格式 当前 对 象 创建 时 的 格林 尼 治 标准 时 间 
Last-modified date RFC 850 中 定义 的 标准 日 期 格式 当前 对 象 最 后 一 次 修改 时 的 格林 尼 治 标准 时 间 
Content-Language 依照 ISO 3316 的 语言 代码 编写 当前 对 象 的 语言 


从 表 18.4 中 可 以 看 到 ， 有 些 报头 字段 是 纯粹 的 信息 ， 而 有 些 报头 
字段 则 可 能 包含 用 来 分 析 和 处 理 传 入 HTML 文档 的 信息 。 

这 里 的 Content-Length 字 段 特别 重要 。 在 早期 的 HTTP 1.0 版 本 中 ， 
每 一 个 请 求 /响应 周期 都 需要 一 个 新 的 TCP 连 接 。 客 户 端 打开 一 个 连 
接 ， 并 发 起 一 个 请 求 。 服 务 器 实现 该 请 求 ， 然 后 关闭 该 连接 。 在 那 种 
情况 下 ， 客 户 端 知 道 服 务 器 何 时 停止 发 送 数据 ， 因 为 该 服务 器 关闭 了 
相应 的 TCP 连 接 。 不 笠 的 是 ， 这 个 过 程 需 要 不 断 地 打开 和 关闭 连接 ， 
从 而 增加 了 系统 开销 。HTTP 1.1 允 许 客户 端 和 服务 器 在 一 次 传输 之 
后 ， 继 续 维持 相应 的 连接 。 在 那 种 情况 下 ， 客 户 端 需要 以 某 种 方式 知 
道 一 个 响应 何 时 结束 。 这 个 Content-Length 字 段 就 指定 与 当前 响应 相关 
的 HTML 对 象 的 长 度 。 如 果 服 务 器 不 知道 它 正 发 送 的 对 象 的 长 度 ( 随 
着 动态 HTML 的 出 现 ， eo ， 服 务 器 发 送 报头 字段 
Connection:close 来 通知 浏览 器 ， 服 务 器 将 通过 关闭 当前 连接 来 表示 数 
据 的 结束 。 

HTTP 还 支持 一 个 协商 阶段 ， 服 务 器 和 浏览 器 可 以 在 此 期 间 就 某 
些 格式 和 首选 项 的 共同 设置 达成 共识 。 


18.4 脚本 


E A A AA 
已 经 与 本 章 前 面 描述 的 “网 页 只 是 其 入 了 静态 HTML 标 记 的 简单 文本 文 
件 ” 大 不 相同 。 

现代 的 网 页 通常 是 一 个 包含 对 象 、 脚 本 、 为 响应 数据 输入 而 由 机 
器 产生 的 代码 和 后 端 数 据 的 复杂 集合 。 通 过 使 用 多 功能 的 HTML,， 3% 
们 可 以 在 页 面 传输 时 为 其 插入 数据 或 额外 的 指令 ， 也 可 以 添加 在 页 面 
到 达 之 后 再 运行 的 代码 。 

Web 浏 览 器 已 经 变 得 非常 善于 解释 和 操纵 这 些 传 入 的 代码 。 在 下 
一 章 将 学 到 ， 在 Web 服 务 器 上 运行 的 名 为 内 容 管理 系统 的 专用 工具 ， 
隐藏 了 HTML 代码 生成 的 细节 ， 而 只 给 Web 开 发 人 员 提 供 了 一 个 简单 
的 界面 。 

> 用 于 自动 生成 Web 代 码 的 两 种 基本 技术 是 服务 器 端 脚 本 编程 和 
客户 端 脚 本 编程 。 

在 本 章 后 面 将 会 讲 到 ， 在 客户 端 系统 上 运行 的 插件 和 附加 应 用 程 
序 ， 为 通过 网 页 来 触发 的 行为 添加 了 另外 一 种 维度 。 有 关 高 级 Web 技 
术 的 更 多 细节 ， 请 见 第 19 章 。 

这 些 技术 大 部 分 都 与 属于 编程 的 主题 。 终 端 用 户 没 有 必要 知道 家 
入 到 网 页 中 的 图 片 或 表格 是 来 自 于 静态 标注 还 是 来 自 于 脚本 。 但 是 ， 
对 这 些 概念 进行 简单 讲解 ， 可 以 让 用 户 理 解 HTML 是 如 何 应 用 在 如 今 
的 Internet 上 的 。 


18.4.1 服务 器 端 脚本 编程 

服务 器 端 脚本 编程 可 以 让 服务 器 接受 来 自 客户 端的 输入 ， 并 在 幕 
后 处 理 这 些 输入 。 一 个 单 见 的 服务 器 端 脚本 编程 的 场景 如 图 18.5 所 
示 。 处 理 过 程 如 下 所 示 。 

1. 用 户 浏览 到 一 个 页 面 ， 它 包含 一 张 用 来 购买 某 一 产品 或 输入 访 
问 者 信息 的 表单 。 

2. 服务 器 根据 用 户 选 择 生 成 该 表单 ， 并 将 其 传送 给 浏览 器 。 

3. 用 户 在 此 表单 中 输入 必要 的 信息 ， 然 后 浏览 器 将 该 表单 传 回 服 
务 器 (注意 ， 这 个 HTML 表 单 特性 与 通常 的 过 程 相反 。 浏 览 器 在 服务 
器 请 求 时 ， 向 其 发 送 内 容 ) 。 

4. 服务 器 接受 来 目 浏 览 器 的 数据 ， 并 使 用 一 个 编程 接口 ， 将 此 效 
据 传递 给 处 理 用 户 信 息 的 程序 。 如 果 用 户 正 在 购买 某 一 产品 ， 这 些 后 
台 程 序 可 能 会 检查 信用 卡 信息 ， 或 者 是 发 送 一 个 出 货 单 给 邮件 室 。 如 
果 用 户 正 在 向 一 个 邮件 列表 添加 其 姓名 ， 或 者 是 加 入 一 个 受 限制 的 在 
线 站 点 ， 那 么 可 能 会 有 一 个 程序 把 有 关 的 用 户 信息 添加 a 到 一 个 数据 库 
中 。 


程 接口 服务 器 


请 求 


Web 
服务 器 


图 18.5 服务 器 端 脚本 编程 的 场景 


现在 ， 有 几 种 程序 设计 语言 和 环境 可 以 用 来 帮助 开发 人 员 构 建 基 
于 服务 器 的 web 应 用 程序 。 一 种 将 程序 或 脚本 与 网 页 相连 接 的 方法 是 
通过 “公共 网 关 接口 ”(Common Gateway Interface, CGI) 。CGI 用 来 
接受 来 自 Web 用 户 的 表单 型 输入 ， 处 理 该 输入 ， 然 后 生成 HIML 格 式 
的 输出 。CGI 脚 本 一 般 使 用 Pen 语言 编写 ， 但 是 CGI 能 兼容 其 他 语言 ， 
其 中 包括 C 语 言 。 

作为 一 种 用 于 Web 开 发 的 语言 ，PHP 也 正 越 来 越 流行 。 一 个 简单 
BIPHPEI ES SHRA TE THTMLÄRICH: 

<?php code here...?> 

或 者 使 用 <script language> 标 记 来 定义 : 

<script language=”php”> code here...</script> 

支持 PHP 的 Web 服 务 器 解析 和 执行 括号 之 间 的 代码 ， 并 且 在 页 面 
发 送 给 客户 端 时 ， 将 PHP 命 令 集 的 输出 插入 到 原来 标记 的 位 置 。 

Microsoft 的 活动 服务 器 页 面 (Active Server Page, ASP) 以 及 后 续 
的 ASP.NET 技 术 也 是 两 种 流行 的 服务 器 端 Web 技 术 。 在 最 近 几 年 ， 


ASPNET 对 Web 开 发 具有 很 大 的 影响 力 。 但 是 ， 在 本 书 编写 之 时 ， 
HTML5 和 其 他 近期 出 现 的 技术 可 能 会 对 下 一 代 的 网 站 施加 更 大 的 影 
响 力 。 第 19 章 更 为 详细 地 讨论 了 HTMLS5。 

针对 自 定义 的 服务 器 端 应 用 程序 的 web 接 口 的 概念 ， 已 经 产生 了 
一 种 称 之 为 Web 服 务 环境 的 编程 范式 。 许 多 主要 的 硬件 和 软件 厂商 ， 
其 中 包括 IBM, Microsoft 等 公司 ， 已 经 开发 了 先进 的 基础 设施 来 支持 
Web 服 务 编程 。 有 关 Web 服 务 技术 和 技巧 的 更 多 细节 ， 请 见 第 20 章 。 


18.4.2 


将 脚本 集成 到 Web 环 境 的 另外 一 种 方式 存在 于 客户 端 (也 就 是 
说 ， 存 在 于 运行 Web 浏 览 器 应 用 程序 的 本 地 客户 端 计算 机 上 ) 。 服 务 
器 端 脚本 是 在 服务 器 上 执行 ， 而 且 脚本 的 输出 能 入 在 网 页 中 ， 而 客户 
端的 解决 方案 是 将 坐 入 的 脚本 与 HMTL 代码 和 文本 的 其 他 部 分 一 起 传 
输 ， 而 且 脚 本 经 由 浏览 器 来 执行 。 

JavaScript 和 VBScript 是 两 种 常见 的 客户 端 脚本 编程 技术 。 而 且 脚 
本 文件 通常 通过 HTML 来 引用 : 

<script src=”/script.js” type=”text”/javascript”></script> 

标记 可 以 引用 真实 的 指令 ， 或 者 是 引用 包含 代码 的 一 个 外 部 文 
件 。 无 论 哪 种 情况 ， 只 有 当 客 户 端 计算 机 支持 代码 中 引用 的 脚本 语言 
时 ， 才 行 得 通 。 

对 某 些 类 型 的 应 用 程序 来 说 ， 客 户 端 脚本 编程 是 一 种 更 为 有 效 的 
选择 。 在 客户 端 执 行 脚 本 的 解释 器 (interpreter) 更 够 详细 地 查看 本 地 
环境 ， 而 且 通 过 将 交互 元 素 限 制 在 客户 端 ， 也 减少 了 网 络 流量 ， 提 升 
了 网 络 性 能 。 

AJAX (有 时 标榜 为 异步 JavaScript 和 XML 的 缩写 ) 是 使 用 客户 端 
脚本 编程 来 对 Web 内 容 进 行 无 颖 升级 的 一 组 技术 ， 它 无 需 对 整个 网 页 
进行 刷新 。 其 他 一 些 常见 的 客户 端 技术 为 用 户 提 供 了 一 些 交 互 选项 ， 
它 可 以 调用 动画 或 其 他 多 媒体 效果 ， 也 可 以 根据 客户 端 系统 的 状态 信 
息 进 行 响应 。 

客户 端 脚 本 编程 相当 常见 ， 但 你 也 可 以 想象 到 ， 它 将 会 带 来 一 些 
安全 挑战 。 入 侵 者 都 喜欢 在 客户 端 系 统 上 执行 代码 。 现 在 大 多 数 系统 
都 采取 了 措施 ， 来 限制 浏览 器 上 的 代码 执行 权限 ， 而 且 在 下 一 节 也 会 
讲 到 ， 用 户 可 以 对 在 浏览 器 上 运行 的 脚本 进行 限制 。 在 与 网 络 相 关 的 
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全 补丁 推出 时 ， 就 立即 安装 。 


18.5 Web 浏 览 器 


你 可 能 已 经 知道 ， 万 维 网 的 整个 业务 依赖 于 称 之 为 Web 浏 览 器 的 
这 种 非常 特殊 但 又 很 通用 的 应 用 程序 。 在 本 书 前 面 讨论 的 客户 端 -一 一 
服务 器 模型 中 ，Web 流 浪 器 就 是 客户 端 。 在 早期 ， 简 单 的 浏览 器 只 是 
呈现 早期 、 简 单 而 且 静 态 的 HIML 文 件 。 当 Web 数 据 从 服务 右 闯 到 达 
时 ， 浏 览 器 将 对 使 用 特殊 的 字体 、 链 接 和 照片 来 格式 化 文本 的 标记 进 
行 解释 。 

随 着 Web 数 据 日 渐 复杂 ，Web 浏 览 器 也 随 之 进化 ， 当 Web 成 为 
Internet 商 业 活 动 的 中 心 时 ， 浏 览 器 也 成 为 主流 软件 厂商 的 一 个 兵家 必 
争 之 地 ， 我 们 现在 将 其 称 之 为 “浏览 器 战争 ”。 

众所周知 ， 对 大 多 数 软 件 厂商 来 说 ， 浏 览 器 并 没有 市 场 剪 枝 ， 而 
且 都 是 作为 免费 软件 推出 的 《或 者 与 操作 系统 绑 定 ， 或 者 是 供用 户 免 
费 下 载 ) ， 那 么 它们 为 什么 要 进行 “浏览 器 战争 ” 呢 ? 像 Microsoft 和 
Netscape 《以 及 后 来 的 Google) 这 样 的 大 公司 都 知道 ， 控 制 了 浏览 
器 ， 也 就 相当 于 控制 了 与 Internet 活 动 相关 的 所 有 技术 ， 它 不 仅仅 只 是 
Web 服 务 器 ， 它 们 还 可 以 通过 提供 开发 工具 和 与 操作 系统 交互 的 API 来 
增加 其 影响 力 ， 并 从 中 获取 经 济 利益 。 

Microsoft 曾经 声称 ， 它 的 操作 系统 中 无 法 与 家 入 其 中 的 IE 浏览 
Bom (该 论点 后 来 被 法 院 驶 回 ) 。Microsoft 希 望 将 其 对 OS 市 场 的 控 
制 延 伸 到 浏览 器 市 场 中 ， 以 便 能 够 控制 开发 环境 ， 并 通过 构建 返回 操 
作 系 统 的 路 径 ， 来 确保 它们 的 OS 项 目 能 够 继续 占据 主导 地 址 。 

从 用 户 的 角度 来 看 ， 浏 览 器 是 如 今 Internet 上 发 生 的 一 切 事情 的 
焦点 。HTML 和 HTTP 标 准 的 目的 是 确保 任何 与 标准 兼容 的 浏览 器 能 
够 与 任何 兼容 标准 的 服务 器 通信 。 但 是 ， 大 型 的 软件 厂商 趋向 于 将 标 
准 作为 最 低 要 求 ， 然 后 在 其 上 添加 它们 自己 的 一 些 增强 特性 。 这 样 ， 
当 用 户 为 了 给 这 个 专 有 的 开发 环境 开发 自 定义 的 工具 ， 而 进行 了 大 量 


投资 时 ， 将 不 会 再 轻易 转投 其 他 开发 环境 。 迫 于 诉讼 压力 ，Microsoft 
不 得 不 开放 其 API， 这 很 大 程度 上 解决 了 这 个 问题 。 即 使 如 此 ， 如 今 
世界 上 仍然 有 一 些 自 定义 的 web 工具 只 能 用 于 Internet Explorero 

为 了 彻底 地 参与 到 如 今 的 mternet 当 中 ， 浏 览 器 必须 通过 支持 
JavaScript 或 其 他 脚本 技术 ， 来 支持 客户 端的 脚本 编程 。 取 决 于 浏览 
和 操作 系统 ， 该 支持 可 能 是 通过 浏览 器 插件 或 附加 应 用 程序 实现 的 ， 
或 者 是 通过 操作 系统 实现 的 。 一 个 全 功能 的 浏览 器 必须 支持 数字 签名 
和 认证 ， 从 而 让 用 户 通 过 SSL/TLS 加 密 与 HTTPS 来 从 事 安全 的 事务 和 
通信 (有 关 加 密 通信 的 更 多 细节 ， 请 见 第 11 章 ) 。 

在 必要 的 情况 下 ， 现 代 的 浏览 器 可 以 启动 其 他 应 用 程序 ， 来 打开 
文件 或 执行 程序 。 通 过 使 用 其 他 应 用 程序 来 扩展 浏览 器 的 功能 ， 可 以 
避免 浏览 器 太 大 、 太 过 笨重 ， 而 且 还 可 以 让 应 用 程序 开发 人 员 专 注 于 
他 们 的 专业 领域 。 这 些 扩展 的 应 用 程序 通常 称 为 插件 或 辅助 应 用 程 
序 。 

浏览 器 通常 十 分 智能 ， 可 以 识别 缺失 的 插件 ， 并 且 在 需要 使 用 该 
插件 打开 文件 或 播放 视频 时 ， 会 询问 用 户 是 否 进行 安装 。 大 多 数 浏 览 
器 也 提供 了 一 种 方法 来 手动 添加 、 移 除 和 管理 配置 中 的 插件 。 例 如 ， 
在 Internet Explorer 中 ， 在 Tools 菜 单 中 选择 Manage Add-ons (ME 
18.6) 。 

浏览 器 插件 的 经 典 示 例 是 Adobe 工 具 ， 比 如 Acrobat reader 和 Flash 
player。 当 浏览 器 遇 到 一 个 链接 引用 或 DPF 文 件 引 用 时 ， 它 会 调用 合适 
的 Acrobat 插 件 来 打开 文件 ， 并 在 浏览 器 窗口 中 显示 相应 的 内 容 。 
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18.6 在 Internet Explorer 中 管理 插件 


有 些 插件 提供 了 其 他 形式 的 扩展 和 增强 的 性 能 。 例 如 ，Firefox 提 
供 了 一 组 用 于 报警 、 社 区 化 网 络 和 隐私 的 插件 ( 见 图 18.7) 


图 18.7 Firefox 提供 了 用 于 社交 化 网 络 、 隐 私 、 报 请 和 其 他 用 途 的 插件 


下 一 章 将 讲 到 ， 最 近 的 HMTL5 标 准 可 能 会 通过 在 浏览 器 内 直接 提 
供 对 视频 编 解码 器 的 支持 来 降低 某 些 插件 〈 比 如 Flash) 的 重要 性 。 

浏览 器 配种 的 其 他 关键 组 件 除 了 扩展 浏览 器 的 功能 之 外 ， 也 对 浏 
览 器 的 功能 进行 了 限制 。Internet 上 的 新 威胁 不 断 涌 现 ， 而 且 旧 有 的 威 
胁 仍然 在 兴风作浪 〈 尽 管 人 们 一 直 在 为 之 努力 ) ， 因 此 安全 配置 成 为 
浏览 器 环境 中 的 一 个 重要 方面 。 大 多 数 浏览 器 提供 了 一 种 方式 来 定义 
Web 行 为 的 安全 设置 ， 从 本 质 上 讲 ， 就 是 根据 源 的 信任 级 别 和 用 户 环 
境 所 需要 的 隐私 和 安全 级 别 ， 来 开启 或 关闭 某 些 功能 。Internet 
Explorer 提 供 了 一 个 滑动 的 Internet 安 全 级 别 ， 为 脚本 、Active X 控 件 和 


网 站 上 可 能 会 出 现 的 其 他 元 素 提供 了 不 同 的 控制 级 别 ( 见 图 18.8) o 
单 击 Custom level 按 钮 来 选择 可 用 的 安全 设置 。 

在 简化 的 Mac OS 世界 中 ，Safari 浏 览 器 提供 了 一 种 启用 和 禁用 
Java 和 JavaScript、 阻 止 弹出 式 菜 单 、 配 置 安全 环境 其 他 因素 的 方法 。 
在 Safari 荣 单 中 选择 Preference， 然 后 选择 Security 选 项 来 配置 Safari 安 全 
设置 (7118.9) 。Firefox、Chrome、Opera 和 其 他 浏览 器 也 提供 了 相 
似 的 特性 。 许 多 浏览 器 还 允许 用 户 预 定义 一 个 受信 站 点 的 列表 ， 这 样 
用 户 就 可 以 使 用 较 少 的 安全 限制 来 访问 这 些 站 点 。 


internet Options es | 
| General Secunty |Privacy | Content | Connections | Programs | Advanced | 


Select a zone to view or change security settings. 


@& y O 


Internet Localintranet Trustedstes Restricted 
sites 


Internet 


ew This zone is for Internet websites, 
except those isted in trusted and 
restricted zones. 


Security level for this zone 
Allowed levels for thes zone: Medium to High 
Medium 

-Prompts before downloading potentially unsafe 
content 
- Unsigned ActiveX controls wil not be downloaded 

E 

¡Y Enable Protected Mode (requires restarting Internet Explorer) 


Reset al zones to default level | 


图 18.8 大 多 数 浏览 器 都 有 微调 安全 级 别 的 方法 。 浏 览 器 的 安全 级 别 虽 
然 越 高 越 好 ， 但 是 过 高 的 安全 设置 会 组 织 合法 的 网 络 行为 


Fraudulent sites: 网 Warn when visiting a fraudulent website 
\ The Google Safe Browsing Service is unavailable. 
> No updates have occurred in 102 days. 


Web content: [MÍ Enable plug-ins 
MÍ Enable Java 
MÍ Enable JavaScript 
F Block pop-up windows 


Accept cookies: @ Always 
O Never 


O Only from sites you navigate to 
For example, not from advertisers on those sites. 


Database storage: (sm WM allowed before asking 


F Ask before sending a non-secure form from a secure website 


图 18.9 通过 Safari 的 简洁 界面 ， 可 以 启动 JavaScript， 并 定义 一 个 
cookie 策 略 


18.6 小 结 


本 章 描述 了 在 那 著 名 的 Internet 服务 ( 即 通常 所 说 的 万 维 网 ) E 
后 工作 的 各 个 过 程 ， 内 容 包括 Web 的 工作 方式 ， 以 及 HTML 文档 和 
HTTP 协 议 。 同 时 ， 本 章 还 介绍 了 动态 HTML 的 概念 。 你 将 在 第 19 和 第 
20 章 中 学 到 更 多 有 关 动 态 HTML 和 其 他 Web 技 术 的 内 容 。 


18.7 115% 


问 : 哪个 HTML 标记 更 改 文本 的 颜色 ? 

答 : 要 想 更 改 文 本 的 颜色 ， 请 使 用 带 有 COLOR 属 性 的 <FONT> 标 
a. 

<FONT COLOR="RED"> red text </FONT> 

问 : 哪个 HTML 标 记 定 义 超 文本 链接 ? 

E 对 于 超 文本 链接 ， 请 使 用 带 有 HREF 属 性 的 <A> 标 记 : 

<A HREF="www.ElvisIsDiseased.com">I'm All Shook Up</A> 


18.8 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


18.8.1 问题 


1. 为 什么 HTTP 支 持 协商 阶段 ? 

2. HTML 文 档 的 主要 部 分 是 什么 ? 

3. 考虑 这 样 一 个 网 站 ， 它 包含 一 个 带 有 书 名 和 价格 信息 的 后 端 数 
据 库 。 你 应 该 使 用 服务 器 端 脚本 还 是 客户 端 脚本 来 为 用 户 提供 这 些 信 
BIE? 

4. 假定 你 刚 安装 了 一 个 新 的 系统 ， 而 且 它 运行 良好 ， 但 是 当 你 访 
问 最 喜欢 的 网 站 并 单 击 一 个 PDF 文件 时 ， 该 文件 却 没 有 打开 。 你 如 何 


来 解决 这 个 问题 呢 ? 


18.8.2 练习 


打开 一 个 Web 浏览 器 ， 然 后 进入 一 个 流行 的 商业 网 站 (比如 
http://www.cnn.com Ekwww.slashdot.org) © 选择 浏览 器 菜单 选项 ， 显 
示 网 页 的 源 代 码 。 例 如 ， 在 Internet Explorer 中 ， 选 择 View 菜 单 ， 然 后 
选择 Source。 在 Safari 中 ， 选 择 View 菜 单 ， 然 后 选择 View Source。 在 
Firefox 中 ， 在 Firefox 菜 单 中 选择 Web Developer， 然 后 选择 View Page 
Sourceo 

这 将 打开 一 个 单独 的 窗口 ， 并 显示 与 网 页 相关 的 HTML。 你 可 以 
从 中 发 现 很 多 本 章 讲 到 的 元 素 。 查 看 一 些 常见 的 而 且 带 有 文本 (显示 
在 页 面 的 主 视图 中 ) 的 静态 HTML。 查 看 带 有 <H1>、<H2> 或 <H3> 标 
记 的 标题 。 查 看 带 有 <P> 标 记 的 段 党。 查看 超 链 接 。 现 在 搜索 属于 
JavaScript， 查 找 JavaScript 代 码 。 试 着 确定 每 一 个 代码 块 在 已 完成 的 站 
点 试 视图 (显示 在 浏览 器 窗口 中 ) 上 的 作用 。 


18.9 关键 术语 


复习 下 列 关 键 术 语 : 

> 文档 主体 : 包含 将 实际 出 现在 浏览 器 窗口 中 的 文本 的 HTML 文 
档 部 分 。 这 个 主体 部 分 封装 在 <BODY> 和 </BODY> 标 记 之 间 。 

> 浏览 器 : 一 种 HTTP 客 户 端 应 用 程序 。 大 多 数 现代 的 浏览 器 都 
可 以 处 理 其 他 协议 ， 比 如 FTP。 

> 客户 端 脚本 编程 : 一 种 在 客户 端 计算 机 (浏览 器 系统 ) 上 执行 
的 脚本 。 

> CGI (公共 网 关 接 口 ) : 一 种 程序 设计 接口 ， 允 许 设 计 人 员 把 
脚本 和 程序 与 某 个 网 页 结合 在 一 起 。 

> 文档 报头 : HTML 文 档 的 开始 部 分 ， 包 含 文档 的 标题 和 其 他 可 
选 参数 。 这 个 文档 报头 部 分 封装 在 <HEAD> 和 </HEAD> 标 记 之 间 。 

> 超 文 本 链接 : 网 页 的 一 个 突出 显示 部 分 。 当 用 户 单 击 这 种 链接 
时 ， 浏 览 器 就 会 转向 此 URL 指 定 的 另 一 个 文档 或 位 置 。 

> HTML ( 超 文本 标记 语言 ) : 一 种 用 于 构建 网 页 的 标记 语言 。 
HTML 由 文本 和 描述 格式 化 、 链 接 和 图 形 的 专用 代码 组 成 。 

> HTTP ( 超 文本 传输 协议 ) : 用 来 在 服务 器 和 客户 端 之 间 传 输 
HTML 内 容 的 协议 。 

> PHP: 一 种 流行 的 程序 设计 语言 ， 用 于 Web 开 发 。 

> 服务 器 端 脚本 编程 : 一 种 在 服务 器 系统 (Web 服务器 ) 上 执行 
的 脚本 。 

> 标记 : 一 种 HTML 指 令 。 


19 Web 


本 章 介绍 如 下 内 容 : 

> 新 的 Web ; 

对 等 连 网 ; 

> IRC 和 IM; 

> 语义 Web ; 

XHTML ; 

> HTML5o 

Web 上 充满 了 新 理念 ， 产 生 了 各 种 各 样 新 的 表单 和 格式 ， 但 是 从 
外 表 上 看 ， 新 的 外 观 可 能 就 是 现 有 工具 和 服务 的 巧妙 配合 。 本 章 将 概 
括 性 地 描述 新 的 web。 

学 完 本 章 后 ， 你 可 以 : 

> 谈论 博客 (blog) 、 维 基 (wiki) 和 社交 网 站 (social 
networking site) ; 

> 解释 XHTML 的 用 途 ; 

> 理解 对 等 网 络 是 如 何 工 作 的 ; 

> 描述 IRC 和 IM 消 息 收 发 ; 

> 解释 语义 Web 的 用 途 。 


19.1 Web 2.0 


近期 ， 万 维 网 旧 貌 换 新 颜 ， 正 为 新 一 代用 户 提供 着 智能 化 和 交互 
性 更 强 的 新 一 代 网 站 。 这 些 技 术 合 在 一 起 ， 被 称 为 Web 2.0。 

新 的 Web 组 件 看 上 去 与 老式 网 站 不 同 ， 而 且 从 人 类 交往 和 社区 体 
验 的 观点 来 看 ， 它 们 是 具有 革命 性 的 。 但 是 在 后 台 ，Web 2.0 技 术 基 于 
许多 与 Web 服 务 基础 结构 相同 的 组 件 ， 也 是 一 个 必然 发 展 。 

> 数据 库 系 统 : 用 于 存储 和 管理 数据 的 单独 系统 。 

> 设计 元 素 : 预定 义 的 标准 元 素 。 

> 布局 : 站 点 的 结构 。 

> 脚本 : 通过 把 数据 注入 预定 义 结构 来 生成 HTML 代 码 的 一 种 方 
式 。 

像 博 客 、 维 基 和 社交 网 站 这 样 的 Web 奇 迹 都 隐藏 了 这 些 细节 ， 从 
而 用 户 可 以 自由 地 通过 图 像 、 声 音 和 书面 语言 ， 手 工 制 作 Web 本 体 ， 
而 根本 不 必 担 心 类 似 HTML 这 样 的 麻烦 细节 。 
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没 多 久之 后 ，Web 开 发 人 员 和 用 户 就 发 现 ， 将 HTML 标 记 输 入 到 
文本 文件 的 这 样 一 个 单调 乏味 的 工作 ， 其 实 是 宝贵 人 力 资 源 的 一 种 浪 
费 。 而 且 ， 随 着 Web 开 发 向 两 业 领域 的 转移 ， 由 此 产生 了 新 一 代 的 
Web 设 计 人 员 ， 他 们 不 再 是 传统 的 计算 机 程序 员 ， 而 应 该 被 看 作 是 图 
形 艺 术 家 或 编辑 。 对 Web 开 发 进行 简化 ， 同 时 将 其 扩展 到 非 技 术 专 业 
人 员 的 需求 ， 产 生 了 一 组 Web 编 辑 工 具 ， 这 些 工具 掩藏 了 HTML 的 细 
节 ， 可 以 让 开发 人 员 在 一 个 简单 的 图 形 界面 内 操作 ， 从 而 使 得 开发 人 
员 看 到 的 页 面 就 像 就 像 其 最 终 页 面 一 样 。 该 概念 后 来 被 称 为 
WYSIWYG 编 辑 界面 。 这 个 缩写 通常 的 发 音 是 wizzy-wig， 它 代表 “所 
见 即 所 得 ” (What You See Is What You Get) 。 换 名 话说， 你 可 以 在 一 
个 像 它 将 会 呈现 给 用 户 那样 显示 的 环境 中 ， 处 理 文 本 、 图 像 和 其 他 要 
Fo 

WYSIWYG 概 念 听 上 去 可 能 并 不 像 你 所 想 的 那么 激进 ， 它 非常 接 
近 于 某 个 文字 处 理 器 所 做 的 事 ， 而 且 像 Dreamweaver 这 样 的 Web 开 发 工 
具 很 早 就 已 经 提供 这 一 特性 。 事 实 上 ， 这 些 WYSISYG 编 辑 器 在 Web 开 
发 领域 已 经 存在 了 很 长 的 时 间 ， 既 然 这 样 ， 那 么 为 什么 还 要 在 本 章 对 
其 进行 介绍 呢 ? 因为 它们 是 朝 内 容 管理 系统 (Content Management 
System, CMS) 这 类 新 工具 进化 的 必然 步骤 。 

像 Dreamweaver 这 样 的 web 编 辑 器 可 以 让 用 户 在 图 形 界 面 中 构建 内 
容 ， 然 后 将 结果 输出 到 一 个 HTML 文 件 (以 及 其 他 支持 文件 ) 中 。 开 
发 人 员 然 后 获得 Web 编辑 器 工具 生成 的 基于 HTMIL 的 内 容 ， 并 且 像 发 
布 其 他 HIML 文 件 那 样 ， 将 其 发 布 到 Web 服 务 器 。 

活力 四 射 、 创 意 无 限 的 编程 社区 不 久之 后 意识 到 ， 他 们 可 以 将 该 
过 程 进一步 自动 化 。 下 一 个 必然 步骤 是 将 Web 内 容 的 生成 与 向 Web 15 
客 发 布 和 提供 信息 的 实际 过 程 合 并 起 来 。 也 就 是 说 ， 他 们 希望 找到 一 


种 方法 将 这 个 基于 GUI 的 设计 界面 与 Web 服务 器 进行 连接 ， 这 样 通 
过 使 用 同一 个 工具 ， 就 可 以 创建 内 容 ， 并 将 其 发 布 到 该 工具 的 实时 
Web 服 务 器 上 。 与 此 同时 ， 开 发 人 员 还 使 用 了 另外 一 些 Web 服务 技术 
(这 些 技术 将 在 下 一 章 讲 到 ) ， 这 些 技术 带 有 后 端 数据 库 以 及 其 他 数 
据 管 理 特性 。 带 有 后 端 服务 的 Web 服 务 器 与 WYSIWYG 用 户 界面 的 会 
聚 ， 产 生 了 CMS， 而 且 CMS 现 在 是 在 商业 Web 服 务 器 上 管理 内 容 的 一 
种 最 常用 的 方法 。 

从 本 质 上 来 讲 ，CMS 是 Web 服 务 器 的 扩展 。 它 通常 运行 在 Web 服 
务 器 所 在 的 机 器 上 ， 而 且 用 户 通 过 远程 客户 端 工 作 站 上 的 Web 接 口 与 
它 进行 交互 。 通 过 CMS 管 理 的 Web 内 容 作 为 属性 值 系统 进行 存储 和 管 
理 ， 这 种 存储 和 管理 是 通过 可 扩展 编辑 语言 (XML) 或 其 他 形式 的 后 
端 数据 库 实现 的 ( 见 图 19.1) o 


Web 服务 器 


应 用 程序 


Web 客户 端 Web 服务 器 


图 19.1 运行 在 Web 服 务 器 之 上 的 CMS， 它 提供 了 一 个 友好 的 配置 界 
面 ， 而 且 内 容 数据 通常 存储 在 后 端 数据 库 中 ， 或 以 XML 的 形式 存储 


CMS 界面 通常 内 置 在 标准 的 服务 器 端 Web 脚本 组 件 中 ， 它 是 使 
用 PHP, Perl, Java 或 ASPNET 语 言 实现 的 。 如 今 使 用 的 CMS 应 用 程 
序 包括 像 Drupal 和 Wordpress 这 样 的 免费 工具 ， 也 有 像 Microsotft 
SharePoint 这 样 的 专 有 应 用 程序 。 

尽管 一 个 好 的 CMS 可 以 处 理 大 量 的 Web 场 景 ， 当 Web 内 容 包 含 遵 
循 标准 模式 的 多 个 实例 时 ， 比 如 博客 ， 或 者 是 每 一 个 条 目 都 包含 一 组 
预定 义 元 素 (tne, (EB. Bi, EAS) 的 网 络 杂 志 ，CMS 系 统 可 
以 发 挥 其 最 大 用 途 。 

除了 提供 一 个 用 于 管理 和 发 布 内 容 的 简单 界面 之 外 ， 许 多 CMS 工 
具 还 提供 了 标准 的 Web 设计 模板 和 组 件 ， 这 使 得 用 户 在 无 需 单独 创建 
每 一 个 条 目的 情况 下 ， 就 可 以 轻松 创建 出 一 个 自 定义 的 外 观 。 


19.1.2 社交 化 网 络 
管 社交 化 网 络 现象 已 经 成 为 一 个 相当 宽泛 的 话题 ， 它 涉及 的 技 

re 而 且 甚 至 偏离 了 TCP/IP 的 基本 主题 ， 但 是 仍然 有 
必要 指出 ， 像 Facebook 这 样 的 社交 化 网 络 站 点 代表 了 CMS 概念 的 进 一 
步 演 化 。Facebook 以 及 与 之 相似 的 其 他 形态 将 CMS 和 Web 观 看 体验 怖 
合 到 一 个 单一 的 工具 中 。 

Facebook 页 面 的 拥有 者 可 以 登录 到 一 个 安全 空间 ， 这 个 安全 空间 
的 界面 充当 CMS， 可 以 让 拥有 者 输入 文本 和 张贴 图 片 ， 以 供 访客 查 
看 。 其 理念 是 与 用 户 相关 的 一 组 属性 存储 在 数据 库 中 ， 当 有 人 请 求 页 
面 时 ， 运 行 在 服务 器 上 的 软件 将 特定 用 户 的 数据 与 定义 了 站 点 结构 的 
通用 模板 相 融 合 ， 从 而 形成 供 访客 查看 的 页 面 。 

Rennen 页 面 虽 然 有 独特 的 Facebook 外 观 ， a 
看 起 来 就 像 一 个 普通 的 站 点 。 其 他 技术 (比如 在 线 聊 天 ) 创建 了 一 
丰富 的 用 户 体 验 ， 但 是 在 所 有 的 应 用 层 以 及 API 之 下 ， ne 
然 是 一 个 web 应 用 程序 ， 其 中 Web 服 务 器 和 基于 浏览 器 的 客户 端 通过 
HTTP 来 通信 。 


19.1.3 2 


博客 (blog) 的 英文 全 名 为 weblog (网 络 日 志 ) ， 是 一 种 电子 杂 
志 或 者 是 在 线 日 志 ， 在 那里 ， 新 故事 被 添加 到 顶部 ， 而 较 老 的 故事 则 
住 一 A 博客 按照 时 间 顺 序 排 列 滚动 的 特性 ， 给 
人 的 印象 是 它 一 直 在 发 展 变化 ， 因 此 能 吸引 读者 再 访问 。 从 本 质 上 
讲 ， “eae AEE 记 在 线 日 记 ， 但 是 评论 员 、 记 者 和 公司 发 
言 人 也 在 使 用 这 种 形式 。 许 多 博客 ， 例 如 Slashdot.org 站 点 ， 都 是 查看 
高 科技 新 闻 和 评论 的 好 地 方 〈 见 图 19.2) o 
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图 19.2 Slashdot.org 是 一 个 流行 的 博客 站 点 


大 多 数 博 客 其 实 是 CMS 的 一 种 特殊 形式 ， 而 且 许 多 标准 的 CMS 工 
具 提 供 了 内 置 的 博客 编写 支持 。 Slashdot 使 用 的 博客 编写 软件 是 一 种 
被 称 为 Slash 的 工具 ， 它 实际 上 是 一 个 开源 的 应 用 程序 ， 可 以 通过 
SourceForge 站 点 (http://sourceforge.net/projects/slashcode/) 免费 下 
载 。Microsoft 公 司 提 供 了 Windows Live Writer 桌 面 博客 编写 应 用 程 
序 。 

研究 博客 是 如 何 起 作用 的 一 种 方法 ， 是 查看 发 送 给 客户 端的 源 代 
码 。 大 多 数 Web 浏 览 器 都 提供 查看 与 Web 文 档 相 关 的 源 代码 的 特性 。 
在 Slashdot 这 个 示例 中 ， 可 以 发 现 ， 不 同 的 新 条 目 都 是 通过 一 系列 鲜 套 
的 HTML <div> 标 记 创 建 的 。<div> 标 记 表 示 文 档 内 的 一 个 部 分 或 节 。 


从 浏览 器 查看 到 的 代码 是 已 经 到 达 客 户 端的 完成 了 的 HTML 人 代码。 在 
服务 器 端 ， 应 用 程序 或 脚本 (在 Slashdot 这 个 示例 中 ， 就 是 Slash 程 
Pr) 生成 代码 ， 根 据 与 此 新 故事 相关 的 数据 记录 ， 为 故事 标题 、 描 
述 、 介 绍 、 图 像 等 元 素 插入 属性 值 。 

维基 是 一 种 充当 轻松 协作 和 信息 共享 空间 的 网 站 。 维 基 的 出 发 
点 ， 是 为 用 户 提 供 一 个 张贴 评论 、 文 档 和 其 他 重要 信息 的 位 置 。 在 理 
论 上 ， 维 基 是 很 容易 扩展 的 。 用 户 可 以 轻松 地 创建 新 的 页 面 ， 并 将 它 
们 链接 到 现 有 页 面 。 一 些 维基 还 提供 版 本 控制 ， 这 意味 着 可 以 分 别 跟 
踪 不 同 用 户 的 编辑 修改 。 

世界 上 最 大 的 维基 是 巨大 的 在 线 百 科 全 书 Wikipedia (WE 
193) 。 维 基 百 科 用 户 可 以 张贴 他 们 自己 的 条 目 ， 而 且 可 以 编辑 现 有 
FA ( 单 击 Wikipedia 菜 单 中 的 Recent Changes 链 接 ， 可 查看 对 某 一 条 
目的 更 改 ) 。 

维基 被 公司 和 其 他 组 织 广 泛 用 作 编 制 计划 、 协 调 工 作 和 组 织 文档 
的 一 种 手段 。MediaWiki (Wikipedia 站 点 上 使 用 的 软件 ) 也 是 一 种 免 
费 提 供 的 开源 应 用 程序 (http://www.mediawiki.org/wiki/MediaWiki) o 

维基 系统 的 设计 可 以 千变万化 ， 但 是 你 可 以 把 一 个 维基 页 面 或 者 
是 条 目 (例如 Wikipedia 中 的 一 个 条 目 ) 看 做 是 分 派 给 标准 属性 的 一 组 
属性 值 。 一 个 XML 模式 或 类 似 的 数据 结构 可 能 定义 一 系列 与 该 条 目 
相关 的 值 ， 如 下 所 示 。 
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> Title: 该 条 目的 标题 。 
>” Category: 
> Language: 编写 该 条 目的 语言 。 
与 该 条 目 相 关 的 完整 


> Contents: 


wi exh 


19.3 应 用 程序 通过 


该 条 目 按照 主题 的 层次 分 类 


HTML 代 码 。 
吉 构 ， 还 可 以 跟踪 对 文本 的 修订 。 当 这 


页 面 被 请 


这 些 数据 与 布局 标记 和 其 他 格式 信息 合 在 一 起 ， RE 在 浏 


览 器 中 的 代码 。 
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有 一 种 被 称 为 对 等 连 网 (P2P, peer-to-peer) 的 新 的 信息 共享 技 
术 ， 逐 渐 形 成 于 Internet 音 乐 共 享 团 体 〈 例 如 Napster) 。 对 等 连 网 这 个 
术语 实际 上 取 自 LAN 网 络 上 的 有 关 配 置 ， 在 那里 ， 服 务 是 分 散 的 ， 而 
且 每 一 台 计 算 机 都 既 充 当 客 户 端 又 充当 服务 器 。Internet 对 等 连 网 形式 
允许 整个 网 络 里 的 计算 机 ， 在 数据 共享 团体 中 分 享 数据 。 换 句 话说 ， 
数据 并 不 是 来 自 单 台 服务 大 量 客户 端 请 求 的 Web 服务器。 相反 ， 数 所 
保留 在 整个 团体 的 普通 PC 上 。 

如 果 你 已 经 仔细 阅读 过 本 书 ， 那 么 可 能 会 奇怪 ， 刚 才 描 述 的 这 个 
对 等 连 网 场景 与 普通 的 联网 有 何不 同 呢 。 其 实 ， 上 一 段 中 所 要 表达 的 
就 是 ， 每 一 个 对 等 体 (peer) 必须 能 够 既 充 当 客 户 端 《请 求 数据 ) 又 
充当 服务 器 (满足 请 求 ) 。 简 短 的 回答 是 ， 在 连接 建立 之 后 ， 对 等 连 
网 就 是 普通 的 连 网 。 较 长 的 回答 是 ， 这 就 是 为 什么 对 等 连 网 被 认为 是 
有 点 革命 性 的 原因 。 

多 样 性 是 Internet 的 创建 目标 之 一 ， 而 且 从 理论 上 讲 ， 任 意 一 台 能 
够 连接 到 Internet 的 计算 机 ， 都 可 以 与 其 他 任何 连接 到 Internet 并 半 有 必 
要 服务 的 兼容 计算 机 建立 一 个 连接 。 不 过 要 考虑 到 普通 PC 并 不 总 是 
着 。 同 时 还 要 考虑 到 ， 绝 大 多 数 连接 到 Internet 的 计算 机 都 没有 永久 性 
的 IP 地 址 ， 而 是 通过 DHCP 接 收 一 个 动态 地 址 。 在 常规 的 TCP/IP 网 络 
上 ， 其 他 计算 机 不 可 能 知道 如 何 联系 一 台 疫 有 永久 性 IP 地 址 或 域名 的 
计算 机 。 

对 等 连 网 技术 的 设计 人 员 知 道 ， 在 解决 这 些 问题 之 前 ， 他 们 对 于 
一 个 多 变 的 音乐 共享 团体 的 想象 是 不 会 实现 的 。 他 们 的 解决 方案 是 提 
供 一 台中 央 服 务 器 ， 用 于 分 配 客户 端 随后 可 以 用 来 相互 建立 连接 的 连 
接 信 息 。 如 图 19.4 所 示 ， 计 算 机 A 的 用 户 登 录 到 Internet。 该 用 户 计算 
机 上 的 客户 端 软件 告诉 服务 器 这 个 用 户 来 了 。 服 务 器 记录 客户 端的 IP 


地 址 以 及 该 客户 端 已 经 提供 给 所 在 团体 的 所 有 文件 。 计 算 机 B 上 的 一 
个 用 户 连接 到 服务 器 ， 并 发 现 计算 机 A 上 有 一 个 所 需 的 文件 。 服 务 器 
向 计算 机 B 提 供 联 系 计算 机 A 所 必需 的 信息 。 计 算 机 B 联 系 计 算 机 A， 
建立 一 个 直接 的 连接 ， 然 后 下 载 所 需 的 文件 。 


服务 器 保存 有 关 客 户 端 资源 的 信息 


计算 机 A 


计算 机 B 了解 到 计算 机 A 
有 其 所 需要 的 资源 ， 然 后 
与 计算 机 A 形成 一 个 直接 
连接 ， 以 获取 该 资源 


计算 机 A 计算 机 B 


图 19.4 一 台 对 等 连 网 计算 机 注册 其 地 址 以 及 其 资源 列表 ， 其 他 计算 机 
接着 通过 直接 连接 来 访问 那些 资源 


对 等 连 网 团体 的 最 大 优点 是 ， 请 求 所 需 的 IP 地 址 以 及 建立 相应 连 
接 的 细节 ， 都 是 在 客户 端 软 件 中 处 理 的 。 用 户 停留 在 对 等 连 网 应 用 程 
序 的 用 户 界 面 中 ， 不 必 知 道 任 何 有 关连 网 的 事情 。 

对 等 连 网 已 经 遭 到 择 击 ， 但 并 不 是 因为 其 技术 的 不 足 ， 而 且 是 因 
为 法 律 原因 。 对 于 P2P 的 发 展 来 说 ， 它 受到 择 击 的 一 个 理由 就 是 ， 它 
使 得 受 版 权 保护 的 素材 更 加 容易 让 人 非法 获得 和 使 用 。 


19.3 IRC# IM 


实时 文本 消息 收发 系统 已 经 存在 很 多 年 了 。 实 际 上 ， 其 概念 在 时 
间 上 还 早 于 我 们 现在 知道 的 Internet。 然 而 最 近 几 年 ， 基 于 Internet 的 聊 
天 得 到 了 新 一 代用 户 的 广 为 喜 爱 。 相 对 于 电话 聊天 来 说 ， 许 多 用 户 更 
喜欢 消息 收发 。 人 们 可 以 在 计算 机 屏幕 上 工作 的 同时 聊天 ， 而 且 文 本 
通常 没有 声音 那样 容易 打扰 人 ， 有 助 于 更 轻松 地 处 理 多 任务 。 有 些 用 
户 甚至 可 以 同时 应 付 多 个 消息 收发 会 话 ， 而 这 对 于 电话 来 说 是 很 难 实 
现 的 。 

当前 ， 有 几 种 消息 收发 形式 ， 有 些 是 专 有 的 ， 有 些 是 开放 的 。 被 
称 为 Internet 中 继 聊 天 (Internet Relay Chat, IRC) 的 流行 形式 ， 其 实 
在 一 系列 Internet RFC (MRFC 1459 开 始 ， 在 包括 RFC 2810-2813) 
中 均 有 描述 。 

IRC 实际 上 是 在 TCP/IP 应 用 层 上 运行 的 一 个 协议 。IRC 协议 被 正 
式 分 配 的 端口 为 TCP 端 口 194， 但 是 服务 器 通常 在 更 高 的 端口 号 处 运 
行 ， 以 避免 使 用 root 权 限 操作 。 一 个 IRC 网 络 就 是 一 组 IRC 服 务 器 被 配 
置 为 相互 通信 ， 以 支持 网 络 用 户 的 交互 聊天 会 话 。 

聊天 会 话 通过 IRC 通 道 进行 。 来 自 网 络 中 任何 位 置 的 多 名 用 户 都 
可 以 连接 到 该 通道 ， 并 进行 实时 通信 ( 见 图 19.5) 。 通 道 组 可 以 围绕 
某 个 普通 的 业余 爱好 或 专业 兴趣 形成 ， 也 可 以 围绕 家 庭 或 社会 联系 形 
成 。 被 指派 为 通道 管理 者 的 一 名 用 户 在 理论 上 负责 该 通道 ， 具 有 禁止 
用 户 或 主持 聊天 内 容 的 权力 。 


TCP/IP TCP/IP 
连接 (ES co ih 
<> | 


a 


图 19.5 IRC 服务 器 接收 来 自用 户 的 连接 ， 并 与 网 络 上 的 其 他 服务 器 通 


信 


客户 端 程序 允许 用 户 连 接 到 某 台 IRC 服 务 器 ， 并 加 入 某 个 聊天 通 
道 。 基 于 文本 的 客户 端 ， 通 过 一 系列 文本 命令 进行 通信 。 最 近 的 图 形 
用 户 界面 (GU) 工具 忽略 了 这 种 命令 语法 的 重要 性 ， 人 允许 用 户 像 正 
单 会 话 一 样 输入 文本 。 

当前 世界 遍布 了 许多 IRC 网 络 。 最 大 型 的 IRC 网 络 (例如 EFnet) 
据 称 最 多 可 以 同时 支持 3 万 名 用 户 。 

IRC 网 络 很 容易 加 入 ， 有 时 只 不 过 要 求 使 用 一 个 在 线 昵 称 来 注册 
和 登录 。 有 些 IRC 网 络 已 经 努力 强制 实行 更 加 有 力 的 安全 措施 ; 然 
而 ， 无 论 你 怎样 加 强 安全 措施 ，IRC 仍然 永远 不 会 被 认为 是 特别 安全 
的 。 

即时 通信 (IM) 在 概念 上 与 聊天 相似 ， 但 是 它 没 有 那么 多 标准 ， 
而 且 通 常 提供 范围 更 广 的 选项 。 用 户 一 般 只 需 注 册 ， 下 载 客户 端 应 用 
程序 ， 然 后 与 同 在 一 个 网 络 的 朋友 们 交换 联系 信息 即 可 。IM 系 统 通常 
是 专用 的 ， 而 且 相应 的 网 络 都 由 大 型 Internet 公 司 管理 。 最 大 的 即时 通 
信和 网络 是 AOL Instant Messenger (AIM) 网 络 ， 估 计 有 5 千 万 名 活跃 用 
户 。 其 他 专 有 的 系统 包括 Windows Live Messenger 网 络 和 Yahoo! 网 
络 。 


当前 ， 还 流行 着 一 种 基于 可 扩展 消息 处 理 现 场 协 议 (Extensible 
Messaging and Presence Protocol，XMPP) 的 开源 即时 通信 ， 其 技术 来 
自 于 Jabber 网 络 。XMPP 是 一 种 以 XML 为 基础 的 协议 ， 用 于 交换 聊天 
消息 。Jabber 网 络 估 计 在 全 球 共 有 4 千 万 名 用 户 。 


19.4 语义 Web 


语义 Web 这 个 充满 雄心 壮志 的 概念 ， 是 当前 可 能 真 的 会 引发 另 一 
场 Internet 革 命 的 一 个 研究 领域 ， 其 前 途 一 片 光 明 。 语 义 Web 得 到 了 万 
维 网 创建 者 Tim Berners-Lee 的 全 力 支持 和 拥护 ， 语 义 Web 是 一 种 通用 
技术 ， 用 于 把 Web 数据 和 人 类 理解 的 真实 语义 联系 起 来 。 换 句 话 说 ， 
其 目的 就 是 设法 以 一 种 计算 机 容易 访问 和 处 理 的 方式 来 编码 Web 信 息 
的 含义 。 

要 想 理解 语义 Web 的 用 途 ， 必 须 从 网 页 上 还 真是 有 点 小 学 问 的 某 
种 感觉 开始 。 例 如 ， 考 虑 下 列 几 行文 本 ， 它 们 可 能 会 出 现在 某 个 典型 
的 网 站 上 : 

A Streetcar Named Desire 

Lawrence Community Theater 

Saturday, October 12, 2008 

7:30 PM 

看 到 这 个 文本 的 人 立刻 就 会 知道 ， 它 是 一 个 将 会 于 2008 年 10 月 12 
日 晚 7 时 30 分 在 Lawrence 社 区 剧院 举行 活动 的 通知 。 许 多 读者 还 会 
出 A Streetcar Named Desire (欲望 号 街 车 ) 这 个 名 称 是 一 部 著名 的 戏 
剧 ， 但 是 那些 不 认识 这 个 标题 的 人 仍然 会 推断 这 个 事件 是 一 部 戏剧 或 
电影 ， 因 为 它 与 一 个 剧院 相关 。 

相反 ， 一 台 计 算 机 将 只 会 把 那些 行 读 做 字母 数字 文本 。 该 计算 机 
实际 上 根本 不 知道 这 段 文 本 的 任何 含义 。 它 不 知道 剧院 是 什么 ， 而 且 
除非 你 专门 告诉 它 ， 否 则 它 也 不 知道 第 3 行 是 一 个 日 期 。 就 此 而 言 ， 搜 
索引 擎 甚至 会 为 某 个 正在 搜索 市 内 有 轨 电 车 时 刻 表 的 用 户 提交 该 页 
Ho 

语义 Web 的 工具 有 朝 一 日 将 会 帮助 Web 开 发 人 员 编码 语义 信息 ， 
使 得 目 动 化 进程 能 够 知道 这 个 页 面 是 有 天 一 部 戏剧 ， 而 不 是 乘坐 有 轨 


电车 车 票 的 。 由 于 这 个 语义 信息 会 被 与 页 面 本 身 编码 在 一 起 ， 因 此 站 
点 创造 者 将 不 需要 任何 有 关 读 者 会 如 何 使 用 该 信息 的 高 级 知识 。 任 何 
人 稍 后 都 可 以 过 来 创建 一 个 搜索 有 关 戏 剧 信息 的 工具 ， 而 且 该 工具 将 
会 找到 这 个 戏剧 的 通知 。 不 同 网 站 可 以 不 同方 式 呈 现 此 类 信息 (没有 
标准 格式 或 样式 ) ， 而 戏剧 查找 应 用 程序 仍然 会 找到 这 些 戏剧 ， 只 
这 些 语义 信息 明确 表示 文本 的 含义 即 可 。 


尽管 万 维 网 联盟 (W3C) 的 出 版 物 里 已 经 提出 了 几 个 策略 ， 但 是 
语义 Web 技 术 目 前 仍 处 于 试验 阶段 。 有 一 个 在 Web 社区 中 已 经 受到 大 
量 关 注 的 语义 Web 工具 被 称 为 资源 描述 框架 (Resource Description 
Framework, RDF) 。RDF 是 一 种 用 来 表达 提供 含义 指示 的 关系 的 框 
架 。RDF 的 基本 单位 是 一 条 由 3 个 部 分 组 成 的 语句 ， 在 RDF 中 被 称 为 三 
元 组 。 三 元 组 的 结构 与 基本 句子 的 主 、 谓 、 宾 结构 相似 。 

例如 ， 在 “The play has the title A Streetcar Named Desire” 这 个 句子 
中 ， 主 语 是 “The play”， 宾 语 是 “A Streetcar Named Desire”， 而 谓语 是 
“has the title”o 

RDF 三 元 组 可 以 玉 用 数 种 形式 ， 但 是 其 要 领 是 每 一 个 元 素 都 被 表 
示 为 一 个 通用 资源 标识 符 (URI) ， 并 且 这 些 URI 串 联 在 一 个 用 冒号 隔 
开 的 列表 中 。 都 柏林 核心 元 数据 计划 (Dublin Core Metadata 
Initiative) 组 织 维持 着 RDF 三 元 组 中 所 引用 的 标准 谓语 的 数据 库 。 例 
如 ， 下 列 标注 <http://purl.org/dc/elements/1.1/title> 指 的 是 谓语 “has the 
title”o 

RDF 和 其 他 语义 Web 技 术 ， 有 朝 一 日 可 能 会 使 得 搜索 工具 变 得 更 
加 聪明 。 


19.4.2 微 格式 


RDF 是 一 种 可 以 为 文本 添加 含义 的 强大 工具 。 但 是 ，Internet 41 
区 正在 进行 一 场 激 烈 的 讨论 ， 其 讨论 的 主题 是 RDF 概 念 是 否 太 过 复 
杂 、 太 浪费 精力 ， 以 至 于 无 法 应 用 到 普通 的 Web 开 发 方法 中 。 一 种 替 
代 方 法 是 微 格 式 ， 它 没有 过 高 的 要 求 ， 而 且 对 Web 从 业 人 员 来 说 ， 它 
更 容易 管理 和 使 用 。 

与 RDF 不 同 ， 微 格式 不 会 试图 表示 完整 的 句子 结构 和 语法 结构 。 
微 格式 的 目的 是 使 用 一 个 预先 定义 的 含义 来 标记 一 段 与 之 相关 的 文 
本 ， 这 样 查看 站 点 的 浏览 器 或 其 他 Web 应 用 程序 就 可 以 知道 这 段 文字 
= 

管 微 格式 的 实现 依赖 于 HTML 中 的 现 有 标记 和 概念 ， 但 是 它 不 
Ban Internet 规 范 。 微 格式 社区 都 是 独立 出 现 的 ， 其 中 一 部 分 
接受 了 非 僵 利 组 织 CommerceNet ( 它 对 促进 Internet 丙 务 中 的 机 会 很 感 
兴趣 ) 的 资助 。 

微 格式 是 一 个 特定 的 名 称 / 值 对 的 词汇 ， 主 要 为 特定 目的 服务 。 可 
以 按照 如 下 格式 使 用 微 格式 词汇 : 

calendars (hCalendar) 

business cards (hCard) 

recipes (hRecipe) 

copyright information (rel-license) 

当 一 个 文本 块 与 一 个 微 格式 相关 时 (比如 一 份 简 历 ， 它 可 以 通过 
hResume 微 格式 来 识别 ) ， 则 周围 的 文本 元 素 就 可 以 与 构成 简历 的 不 
Anz (比如 经 历 、 技 能 、 背 景 、 出 版 物 ) 建立 关联 。 

或 许 如 今 最 常 使 用 的 微 格式 是 hCard 微 格式 ， 它 主要 在 名 片 中 使 
用 。hCard 是 vCard 格 式 的 化 身 ， 其 中 后 者 是 一 种 MIME 类 型 ， 最 初 在 
RFC 2426 中 定义 。 


使 用 hCard 微 格式 标记 的 一 个 简单 的 HTML 数 据 示 例如 下 所 示 : 

<div class =”vcard”> 

<div class=”fn”>Abraham Lincoln</div> 

<div class=”org”> Former Presidents USA</div> 

<div class=”tel”>785-842-5115</div> 

<a class=”url” 

href=”http://former_presidents.org”>http://former.presidents.org</a> 

</div> 

当然 ， 还 可 以 使 用 其 他 设置 来 指明 街道 地 址 和 E-mail 地 址 ， 甚 至 
可 以 指明 电话 是 家 用 电话 、 办 公 电 话 、 手 机 ， 还 是 传真 号 。 如 果 网 页 
上 的 文本 使 用 这 些 hCard 设 置 进行 了 标记 ， 访 问 该 站 点 的 浏览 器 会 立即 
知道 如 何 处 理 这 些 信息 。 可 以 感知 微 格式 的 浏览 器 会 自动 将 数据 格式 
化 为 名 片 。 

有 关 微 格式 发 展 的 更 多 细节 ， 比 如 用 于 特定 微 格式 的 规范 ， 甚 至 
是 能 够 目 动 生成 微 格式 数据 的 某 些 工具 ， 请 访问 microformats.org 网 
站 。 本 章 后 面 会 讲 到 ， 随 着 HTML5 的 出 现 ， 一 种 名 为 微 数 据 的 相似 概 
念 现在 进入 到 了 官方 的 Internet 词 典 中 。 


19.5 XHTML 


许多 新 的 web 工具 ， 以 及 当今 出 现在 Internet 上 的 许多 其 他 站 点 ， 
都 依赖 于 另外 一 个 技术 的 发 展 ， 尽 管 该 技术 对 本 章 而 言 很 专业 ， 但 是 
LANEK XHTML 标准 可 以 将 老式 的 HTML 和 基于 XML 的 Web 
环境 的 现实 桥接 起 来 (有关 XML 的 更 多 细节 ， 请 见 第 20 章 ) 。 从 本 质 
上 讲 ，XHTML 一 个 定制 的 HTML 功 能 ， 而 且 它 符合 XML 语 法 。 
XHTML 格式 在 XML 模式 (schema) 的 可 机 读 的 限制 内 ， 提 供 了 
HTML 的 所 有 表现 力 。 

尽管 XHTML 的 概念 与 HTML 相 似 ， 但 是 XHTML 对 于 马虎 或 者 是 
不 规范 的 编码 习惯 更 加 苛求 。 某 些 声明 的 方式 不 同 (或 者 说 更 加 正 
规 )， 而 且 标 记 的 柑 套 必须 更 加 井井有条 和 精确 。 把 HTML 表 示 成 
XML 模式 的 目的 ， 是 为 了 使 开发 人 员 在 构建 生成 和 解释 代码 的 脚本 及 
其 他 程序 时 ， 能 够 更 加 灵活 。XHTML 还 有 助 于 更 容易 地 被 接收 实体 
动态 解释 或 修改 。 例 如 ， 移 动 设 备 的 小 屏幕 可 能 无 法 按照 规定 的 那样 
显示 标准 的 HTML 页 面 ， 但 是 把 该 页 面 当 作 XHTML 接收 的 客户 端 应 用 
程序 ， 可 以 轻松 地 为 比较 小 的 屏幕 修改 文本 。 

很 多 人 都 相信 ，HTML5 的 出 现 将 会 降低 XHTML 的 重要 性 。 


19.6 HEMLS 


如 今 ，Internet 上 发 生 的 一 个 最 重要 的 变化 就 是 它 采 纳 了 新 的 
HTML。HTML5 已 经 被 讨论 了 多 年 ， 最 终 它 还 是 成 功 进入 到 了 Internet 
的 日 常 应 用 中 。 

如 果 你 查看 HTML5 特 性 列表 ， 就 会 看 到 ，HTML 作 为 一 款 推动 移 
动 革命 的 工具 ， 其 新 的 职责 都 在 它 的 许多 特征 中 得 以 体现 。HTML5 标 
准 包含 许多 用 于 从 移动 设备 浏览 Web 的 特性 。 然 而 ， 其 他 一 些 特 性 只 
是 反映 了 Web 环 境 的 进一步 演变 ， 并 且 将 曾经 由 插件 和 扩展 提供 的 功 
能 直接 合并 到 HTML 中 。 

HTML5 的 一 些 重要 的 新 特性 如 下 所 示 : 

> 支持 本 地 存储 和 离线 应 用 程序 ; 

绘图 (drawing) ; 

> RATS AA A ; 

> 地 理 定位 ; 

> 语义 元 素 。 

下 面 的 小 结 将 讲解 HTML5 中 的 这 些 重要 进展 。HTML5 标 准 还 包 
含 其 他 改进 ， 比 如 拖 放 API 和 对 表单 的 更 好 支持 。 在 很 多 方面 ， 
HTML5 让 HTML 看 起 来 更 像 一 个 用 于 开发 Web 应 用 程序 的 开发 环境 。 
长 久 以 来 ， 开 发 人 员 一 直 使 用 HTML 及 其 相关 的 技术 来 构建 基于 Web 
的 客户 端 /服务 器 应 用 程序 ， 但 是 其 中 很 多 功能 需要 借助 于 额外 的 组 件 
和 第 三 方 扩展 才能 实现 。HTML5 将 很 多 功能 直接 内 置 到 HTML 当 中 。 
在 移动 设备 编程 快速 发 展 的 今天 ， 开 发 人 员 已 经 开始 使 用 HTML5 来 构 
建 跨 平台 的 移动 应 用 程序 ， 通 过 对 它们 进行 细微 的 修改 ， 它 们 就 可 以 
运行 在 Android、iPhone 和 其 他 平台 上 。 

当然 ， 标 准 机 构 采 纳 HTML5 标 准 并 不 能 保证 大 型 的 Internet 社 区 也 
会 采纳 HTML5。 有 些 流行 的 浏览 器 已 经 开始 支持 HTML5， 而 且 Web 服 


务 器 也 能 够 与 最 新 的 HTML 连 接 。 但 是 ， 除 非 web 开 发 人 员 开 始 构建 
集成 了 HTML5 元 素 的 常见 页 面 ， 否 则 ， 在 你 日 常 的 网 上 冲浪 中 ， 你 不 
会 发 现 HTML5 的 益处 。 


cookie 是 web 服务器 存储 在 远程 客户 端 系统 上 的 一 小 块 永久 性 数 
据 。 多 年 以 来 ，cookie 一 直 是 web 场景 中 的 一 部 分 ， 你 可 以 在 大 多 数 
Web 浏览 器 中 发 现 配置 选项 ， 通 过 它们 ， 可 以 管理 cookie 的 存储 和 保 
存 方 式 。Web 服 务 器 使 用 cookie 来 恢复 之 前 的 应 用 程序 的 状态 ， 或 者 是 
存储 与 用 户 之 前 行为 相关 的 信息 。cookie 是 大 多 数 Web 开 发 人 员 (MA 
多 数 Web 用 户 ) 非常 熟悉 的 一 个 有 用 的 工具 ; 但 是 ， 它 本 身 还 有 一 些 
限制 。 Cookie 的 存储 容量 只 有 4KB， 仅 能 存储 与 用 户 和 会 话 历史 相关 
的 少量 数据 ， 但 是 如 今 的 Web 开 发 人 员 需 要 更 多 的 本 地 存储 。 

HTML5 目 带 的 本 地 存储 特性 极 大 地 扩展 和 增强 了 Web 浏 览 器 在 本 
地 系统 存储 和 恢复 信息 的 方法 。HTML5 存 储 (也 称 为 Web 存 储 或 DOM 
存储 ) 可 以 让 浏览 器 存储 Web 应 用 程序 内 定义 的 设置 值 。 本 地 存储 具 
有 很 多 好 处 。 例 如 ， 在 客户 端 执行 的 脚本 将 临时 结果 隐藏 在 存储 区 域 
内 ， 因 此 降低 了 通过 网 络 与 服务 器 进行 通信 的 需求 ， 从 而 提升 了 性 
能 。 存 储 空间 还 可 以 存放 当前 会 话 状态 的 完整 视图 ， 这 样 ， 当 服务 器 
月 溃 或 连接 丢失 时 ， 基 于 Web 的 游戏 或 其 他 交互 式 应 用 程序 也 可 以 恢 
复 过 来 (在 某 些 情况 下 ， 可 以 让 应 用 程序 处 于 暂时 运行 状态 ) o 

HTML5 的 本 地 存储 功能 产生 了 另外 一 个 重要 的 改进 : 离线 应 用 
程序 的 支持 。 支 持 离 线 应 用 程序 特性 的 Web 浏 览 器 可 以 在 网 络 连 接 断 
开 时 ， 继 续 运行 。 

在 图 19.6 中 ， 支 持 离 线 处 理 的 Web 应 用 程序 包含 一 个 缓存 清单 
(cache manifest) ， 其 中 列 出 了 离线 运行 时 所 需要 的 文件 和 其 他 资 
源 。 当 浏览 器 第 一 次 连接 到 站 点 时 ， 缓 存 清单 中 列 出 的 文件 将 会 下 载 
到 客户 端 系统 中 。 


缓存 
清单 


——— ———— - = 


Web Z F ii Web 服务 器 


图 19.6 缓存 清单 列 出 了 离线 处 理 所 需 要 的 资产。 客户 端 下 载 所 需要 的 
文件 ， 因 此 在 连接 丢失 时 也 可 以 继续 运行 


当 网 络 不 可 达 时 ，Web 应 用 程序 可 以 通过 缓存 清单 中 列 出 的 文件 
的 离线 版 本 来 继续 运行 。 乍 一 看 ， 似 乎 没有 那么 让 人 印象 深刻 ( 当 
然 ， 只 要 应 用 程序 访问 的 所 有 文件 都 在 系统 中 ， 那 么 它 就 可 以 运 
ÍT) 。 问 题 是 ， 下 载 到 客户 端的 文件 不 久之 后 就 会 过 期 。 但 是 ， 
HTML5 离 线 应 用 程序 特性 一 个 最 有 趣 的 地 方 是 ， 在 连接 恢复 时 ， 浏 览 
器 系统 能 够 自动 升级 本 地 系统 中 的 文件 ， 并 将 所 有 离线 的 变化 存 回 服 
务 器 。 这 样 ， 当 系统 离线 时 ， 缓 存 清单 中 引用 的 文件 也 可 以 保持 为 最 
新 状态 ， 而 且 客 户 端 能 够 在 不 需要 用 户 的 帮助 下 ， 通 过 恢复 后 的 连 
接 ， 无 缝 地 同步 文件 的 更 改 。 


19.6.2 HTML 54 


Intenet AP DARA RA NERRA EN PAY SOL 
E, AAERA EEE SUBA MAMA Y REIT TEBEN EM. FA 
而 ，Web 设 计 人 员 和 开发 人 员 和 希望 页 面 中 能 包含 更 多 的 东西 ， 比 如 通 
过 编程 来 绘制 会 图 形 ， 或 者 是 创建 一 个 小 动画 ， 当 用 户 观 看 时 ， 该 动 
男 将 会 向 用 户 播放 。 以 前 的 HTML 版 本 通过 第 三 方 的 插件 工具 (比如 
Adobe Flash) 提供 了 该 功能 。 

HTML5 通过 一 对 重要 的 新 元 素 推 出 了 它 自己 的 绘制 功能 ， 这 一 
对 元 素 是 : 用 于 位 图 图 像 的 <cavas> 元 素 和 用 于 标量 矢量 图 形 (Scalar 
Vector Graphics，SVG) 图 像 的 <svg> 元 素 。 

<cavas> 元 素 简单 定义 了 一 块 用 作 绘图 表面 的 屏幕 区 域 : 

<cavas id=”piecture1” width=”350” height=”250”></cavas> 

随后 ，Web 开 发 人 员 可 以 使 用 JavaScript 中 的 绘制 命令 在 这 个 “画布 
(cavas) ”上 进行 绘图 。 该 定义 中 使 用 的 ID 创建 了 一 个 标识 符 ， 用 于 
将 JavaScript 与 画布 定义 的 定义 关联 起 来 《通过 文档 对 象 模型 
(Document Object Model, DOM) 的 定义 来 实现 ，DOM 被 Web 程 序 员 
用 来 管理 网 站 中 的 对 象 ) 。 

每 一 个 页 面 可 以 有 多 个 画布 ， 甚 至 可 以 同时 包含 画布 元 素 与 传统 
图 形 。 

标量 图 形 (scalar graphics) 是 使 用 形状 、 线 条 和 其 他 几何 元 素 
(而 不 是 网 格 中 的 点 ) 来 绘图 的 一 种 方法 。HTML5 通 过 <svg> 元 素 提 
供 了 标量 图 形 。 由 于 标量 图 形 图 像 是 使 用 形状 和 其 他 预先 定义 的 元 素 
来 绘制 的 ， 因 此 Web 开 发 人 员 和 浏览 器 厂商 需要 为 这 些 形状 以 及 影响 
形状 和 方向 的 参数 ， 设 置 一 组 公有 的 定义 。 

<sVg> 标 记 需 要 指 同 一 个 XML 名 称 空间 ， 该 名 称 空 点 定义 了 绘图 
是 使 用 的 图 形 元 素 。 万 维 网 联盟 (W3C) 在 


http://www.w3.o0rg/2000/svg 上 定义 了 它 自己 的 名 称 空间 ， 以 供 HTML 标 
量 图 形 参 考 之 用 : 

<svg xmlns="http://www.w3.org/2000/svg></svg> 

与 图 形 相 关 的 形状 、 大 小 、 颜 色 和 方向 等 信息 ， 都 可 以 防止 在 
<svg> 元 素 的 括号 之 内 。 更 多 信息 ， 请 访问 万 维 网 联盟 的 标量 矢量 图 形 
WA: http://www.w3.org/Graphics/SVG/o 


19.6.3 HTML5 音 
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频 链 接 ， 则 会 打开 一 个 类 似 于 电视 的 小 窗口 ， 用 来 播放 视频 。 

尽管 视频 如 今 在 网 站 上 无 处 不 在 ， 但 是 视频 支持 通常 都 是 通过 第 
三 方 工具 (比如 Flash 或 QuickTime) 来 实现 的 。 在 HTML5 之 前 ， 标 准 
的 Web 规 沁 并 不 支持 家 入 式 视 频 。 

HTML5 推 出 了 一 个 新 的 <video> 元 素 ， 用 于 通知 浏览 器 : 使 用 该 
标记 引用 的 文件 是 一 个 视频 文件 。 与 此 同时 ，HTML5 对 引用 的 音 视 
频 编 解 码 器 也 提供 了 直接 支持 〈 编 解码 器 主要 是 提供 解码 多 媒体 文件 
的 方法 ) 。 如 果 浏 览 器 知道 该 文件 是 视频 文件 ， 它 就 可 以 访问 必要 的 
编 解 码 器 来 播放 该 文件 ， 而 且 整 个 过 程 可 以 通过 浏览 器 自身 来 完成 ， 
而 不 需要 额外 的 第 三 方 应 用 程序 。 

人 们 相信 ，HTML5 内 置 的 视频 特性 终 有 一 天 会 让 类 似 于 Flash (3 
前 很 多 在 线 动画 ， 以 及 像 YouTube 这 样 的 视频 网 站 使 用 的 就 是 Flash) 
这 样 的 工具 消失 。 


19.6.4 HTMIL5 地 理 定位 


全 球 GPS 卫 星系 统 可 以 让 GPS 电子 设备 确定 它 在 标准 地 理 坐 标 中 
的 当前 位 置 。 使 用 GPS 设备 的 旅客 可 以 对 他 们 的 位 置 进 行 跟 踪 。 在 工 
业界 ，GPS 工 具 的 使 用 非常 普遍 ， 中 央 调 度 系统 可 以 绘制 出 送 货车 和 
出 租车 的 活动 轨迹 。 而 且 地 理 定位 功能 也 内 置 在 大 多 数 移动 手机 中 ， 
终端 用 户 已 经 很 习惯 基于 手机 设备 中 内 置 的 GPS 功 能 提供 的 位 置 数 
据 ， 然 后 利用 移动 应 用 程序 来 确定 距离 最 近 的 咖啡 店 或 饭馆 。 

HTML5 的 地 理 定 位 API 提供 了 一 种 标准 的 方法 ， 让 应 用 程序 查询 
设备 ， 以 获得 地 理 位 置 的 数据 。 程 序 员 可 以 使 用 地 理 定位 API 来 确定 
设备 的 位 置 ， 而 且 可 以 处 理 其 他 地 理 定位 数据 ， 以 映射 到 坐标 系 中 或 
查找 去 往 附近 服务 的 路 径 。 


19.6.5 HTMIL5 语 义 


HTML5 定 义 了 一 些 语义 概念 ， 而 且 这 些 概 念 已 经 在 Internet 社 区 中 
得 以 应 用 ( 见 本 章 前 面 的 “语义 Web” 一 节 ) 。HTML5 通 过 一 系列 预先 
定义 的 HTML 元 素来 使 用 语义 ， 这 一 系列 原 图 提供 了 文本 的 含义 〈 见 
表 19.1) 。 用 户 可 以 使 用 这 些 元 素来 标记 用 于 特定 目的 的 文本 。 

注意 ， 与 语义 Web 有 关 的 趣事 是 ， 你 不 需要 确切 地 知道 用 户 或 应 
用 程序 为 什么 需要 这 些 信息 。 文 本 的 含义 是 编码 到 页 面 中 的 ， 页 面 访 
客 可 以 确定 如 何 显示 或 解释 这 些 信 息 。 


元 OR 描 E 


<article> 表示 文档 、 页 面 或 应 用 程序 中 独立 的 、 完 整 的 、 可 以 独自 被 外 部 引用 的 内 容 
<aside> 用 来 表示 = 前 页 面 或 文 ii 的 附属 信息 部 分 ， 它 可 以 包含 与 当前 页 面 或 主要 内 容 相 关 的 引 
用 、 侧 边栏 、 广 告 、 导 航 条 ， 以 及 其 他 类 似 的 有 别 于 主要 内 容 的 部 分 
<footer> 与 区 块 相关 的 基本 信息 ， 比 如 作者 名 字 和 相关 链接 
<header> 介绍 信息 和 导航 信息 ， 比 如 一 个 表 的 内 容 
<hgroup> 将 标题 及 其 子 标 题 进行 分 组 的 元 素 
<mark> 为 了 进行 参考 而 标记 的 文本 
<nav> 可 以 用 作 页 面 导 航 的 链接 组 ， 其 中 的 导航 元 素 链接 到 其 他 页 面 或 当前 页 面 的 其 他 部 分 
<Section> 对 网 站 或 应 用 程序 中 页 面 上 的 内 容 进行 分 块 
<time> 引用 日 期 或 时 间 
表 19.1 HTML5 语 义 元 素 


HTML5 规范 中 包含 的 另外 一 个 重要 的 语义 概念 是 微 数据 。 微 数 
据 是 本 章 前 面 讲解 的 微 格式 概念 的 扩展 。 微 数据 特性 可 以 让 用 户 构建 
专业 词汇 ， 从 而 为 文本 字符 串 分 配 含义 。 与 重要 主题 (比如 人 员 、 事 
件 、 组 织 ) 相关 的 一 些 基 本 词汇 之 前 已 经 定义 (Mhttp://data- 
vacabulary.org) 。 你 还 可 以 创建 自己 的 微 数据 词汇 ， 然 后 将 数据 源 用 
作 HTML 内 的 URL。 

与 微 格 式 相 同 ， 微 数据 也 才 采 取 一 系列 名 称 / 值 对 的 形式 。 微 数据 
开发 背后 的 一 个 驱动 力 来 自 于 搜索 引擎 业界 。 例 如 ，Google 一 直 在 参 
与 标准 草案 的 制定 和 微 数 据 词 汇 的 定义 。 它 们 相信 ， 微 数据 的 广泛 使 
用 将 会 为 它们 的 搜索 算法 提供 额外 的 信息 ， 从 而 帮助 它们 得 出 更 好 的 
结果 。 


19.7 小 结 


本 章 描述 了 新 Web 的 一 些 工 具 和 技术 。 你 学 习 了 博客 、 维 基 和 社 
交 网 站 是 如 何 使 用 像 数 据 库 和 动态 HTML 这 样 的 组 件 的 ， 以 及 XHTML 
是 如 何 通过 统一 的 XML 模式 提供 HTMIL 功 能 的 。 本 章 还 介绍 了 对 等 连 
网 、 消 息 收 发 服务 和 语义 Web。 


19.8 ASS 


问 : 为 什么 使 用 维基 而 不 使 用 传统 的 网 站 ? 

答 : 维基 易于 扩展 和 修改 ， 而 且 它 支持 协同 作业 。 许 多 维基 都 有 
内 置 的 版 本 控制 系统 ， 可 以 用 于 跟踪 不 同 用 户 的 修订 。 

问 : 分 派 给 IFRC 的 熟知 端口 号 是 多 少 ? 

答 : 端口 194。 

问 : 为 什么 有 些 IRC 聊 天 服务 器 使 用 更 高 的 端口 号 ? 

答 : 在 大 多 数 UNIX/Linux 系 统 中 ， 使 用 端口 号 低 于 1024 来 运行 的 
程序 都 具有 root 权 限 。 通 过 使 用 一 个 较 高 的 端口 号 ， 可 以 允许 更 加 严 
格 的 安全 环境 。 注 意 ， 在 如 今 的 网 络 中 ， 这 是 一 种 相当 有 限 的 安全 措 
施 。 尽 管 它 无 法 取代 完整 的 安全 系统 ， 但 是 它 为 入 侵 者 提供 了 额外 的 
障碍 ， 而 且 当 私有 的 聊天 组 不 希望 有 外 部 连接 时 ， 这 可 以 让 通道 难以 
接 入 该 聊天 组 。 

问 : 为 语义 web 进行 编码 的 优势 是 什么 ? 

答 : 语义 信息 可 以 让 搜索 引擎 和 其 他 工具 解释 更 为 复杂 的 数据 。 


19.9 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


19.9.1 问题 

1. 为 什么 通常 使 用 web 浏览 器 来 访问 CMS 工具 ? 

2. 对 等 网 络 的 显著 特征 是 什么 ? 

3. RDF 三 元 组 的 三 个 组 成 部 分 是 什么 ? 

4. 为 什么 有 些 专 家 觉得 Adobe Flash 以 及 类 似 的 工具 在 接 下 来 的 
几 年 会 形 失 影响 力 ? 


19.9.2 练习 


1. 访问 http://www.microformats.org 站 点 。 在 网 站 顶部 的 菜单 
中 ， 单 击 code&xtools。 当 进入 code&tools 页 面 时 ， 选 择 hCard creatoro 
它 可 以 让 你 交互 式 地 生成 用 于 在 线 名 片 的 微 格式 代码 。 在 左 侧 的 表格 
中 输入 名 片 信息 ， 微 格式 代码 将 会 出 现在 右 侧 的 框 中 。 仔 细 审 视 代 
码 ， 以 进一步 理解 微 格式 。 通 过 code&tools 页 面 ， 你 也 可 以 了 解 其 他 
微 格式 类 型 ， 比 如 hCalendar 或 hReview 微 格式 。 

2. 浏览 http://www.html5.com。 该 站 点 可 以 根据 你 的 浏览 器 对 
HTML5 的 支持 程度 进行 打分 。 滚 动 页 面 到 子 项 得 分 区 域 ， 碍 看 你 的 
浏览 器 对 不 同 HTML5 特 性 的 支持 程度 的 得 分 。 


19.10 关键 术语 


复习 下 列 关键 术语 : 

> 博客 : 一 种 在 垂直 滚动 消息 队列 中 张贴 定期 更 新 条 目 或 新 条 目 
的 网 站 。 

> 内 容 管理 系统 (CMS) : 一 款 基于 GUI 的 工具 ， 它 为 构建 和 管 
理 站 点 提供 了 一 个 易于 使 用 的 界面 。 

> 地 理 定位 : 在 地 球 上 确定 地 理 位 置 的 行为 ， 通 常 时 使 用 类 似 于 
GPS 的 电子 设备 或 手机 来 实现 的 。 

> 即时 通信 (IM) : 一 种 实时 消息 收发 技术 。 

> Internet 中 继 聊 天 (IRC) : 一 种 用 于 实时 文本 消息 收发 的 协 
议和 网 络 服务 。 

> 微 数据 : HTML5 内 微 格式 概念 的 一 种 实现 。 

> 微 格式 : HTML 文档 内 的 一 种 语义 结构 ， 它 定义 了 一 个 文本 块 
(比如 一 张 名 片 或 一 份 处 方 ) 的 用 途 ， 并 且 将 数据 部 分 (比如 地 址 或 
成 分 ) 标记 为 一 些 列 名 称 / 值 对 。 

> 对 等 连 网 (P2P) : 一 种 为 了 共享 文件 而 在 Internet 用 户 之 间 建 
立 直接 连接 的 系统 。 

> 资源 描述 框架 (RDP) : 一 种 语义 Web 框 架 。 

> 语义 web: 一 组 提供 有 关 Web 数 据 含 义 的 信息 的 技术 。 

> 社交 网 站 : 几 种 支持 博客 编写 、 消 息 收发 以 及 其 他 个 人 网 站 活 
动 的 服务 之 一 。 

> Web 2.0: 一 个 反映 交互 式 Web 新 形式 的 工具 集 。 

> 维基 : 一 种 可 以 轻松 编辑 的 交互 式 网 站 ， 用 于 支持 协同 工作 。 

> WYSIWYG (所 见 即 所 得 ) : 一 种 可 以 像 将 在 用 户 面前 呈现 
的 那样 显示 页 面 的 编辑 工具 。 

> XHTML: 一 种 通过 XML 模式 的 HTML 表 达 方 式 。 


> XMPP (可 扩展 消息 处 理 现场 协议 ) : 一 种 采用 Jabber 消 息 收 
发 技术 的 开源 消息 收发 协议 。 
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20m Web 服 务 


本 章 介绍 如 下 内 容 : 

> Web 服 务 ; 

> XML; 

> SOAP; 

> WSDL; 

> REST; 

> Web 交 易 。 

Web 技 术 已 经 在 软件 开发 领域 引领 了 一 场 新 的 革命 。Web 服 务 架 
构 允 许 程 序 员 利 用 Web 工 具 ， 完 成 HTML 创 建 者 从 未 预想 到 过 的 复杂 
任务 。 本 章 将 讲解 Web 服 务 基础 结构 ， 并 将 帮助 读者 快速 浏览 一 下 电 
子 商务 网 站 处 理 Web 交 易 的 方式 。 

学 完 本 章 后 ， 你 可 以 : 

> 讨论 Web 服务 架构 5 

> 理解 XML、SOAP、WSDL 和 REST 在 Web 服务 范例 
(paradigm) 中 的 作用 ; 

> 描述 电子 商务 网 站 是 如 何 处 理 货币 交易 的 。 


20.1 Web 


SH, LFS EHANA RA Webxlizs, ME WebIRS2510 
已 家 喻 户 晓 ， 空 想 家 和 软件 开发 商 们 已 很 难 发 明 出 新 的 方式 来 使 用 
Web 工 具 。 在 过 去 ， 程 序 员 想 要 编写 网 络 应 用 程序 ， 必 须 为 用 来 交换 
信息 的 那 两 个 应 用 程序 创建 自 定义 的 服务 器 程序 、 自 定义 的 客户 端 程 
序 和 上 自 定义 的 语法 或 格式 。 编 写 这 整个 软件 ， 需 要 耗费 大 量 的 时 间 和 
精力 ， 但 是 随 着 计算 机 网 络 的 日 益 重 要 ， 数 据 集成 和 集中 管理 的 目标 
推动 了 对 客户 端 /服务 器 应 用 程序 的 需求 。 网 络 程序 接口 当然 存在 ， 否 
则 本 书 中 所 描述 的 许多 经 典 应 用 程序 就 不 会 得 到 发 展 了 ， 但 是 ， 网 络 
程序 设计 通常 在 这 样 的 网 络 接口 处 需要 一 些 数 量 巨 大 且 价 格 昂贵 的 编 
但 。 

后 来 逐渐 出 现 的 一 种 比较 简单 的 解决 方案 ， 是 以 现 有 的 Web 工 
具 、 技 术 和 协议 为 基础 ， 来 创建 自 定义 的 网 络 应 用 程序 。 这 种 方法 就 
是 Web 服 务 架 构 ， 大 型 公司 (比如 IBM 和 Microsoft 等 公司 ) 以 及 世界 
各 地 的 开源 拥护 者 和 开发 工具 厂商 们 都 支持 它 。 

Web 服 务 架构 的 理念 是 ，Web 浏 览 器 、Web 服 务 器 和 TCP/IP 协 议 栈 
处 理 连 网 的 细节 ， 从 而 程序 员 就 可 以 专注 于 应 用 程序 的 细节 。 最 近 几 
年 ， 这 项 技术 已 经 发 展 到 远 不 再 是 Web 作 为 全 球 性 Internet 一 种 表现 形 
式 的 最 初版 本 了 。 这 一 Web 服 务 架 构 现在 已 被 当 作 构建 各 类 网 络 应 用 
程序 的 一 种 方法 ， 而 不 管 相应 的 应 用 程序 是 否 实际 连接 到 Internet。 大 
型 实力 派 软 件 厂商 已 经 在 构建 组 件 基础 结构 来 支持 这 一 Web 服 务 方面 
投入 了 大 量 的 资源 。 

HTTP 传 输 系 统 只 是 我 们 所 知道 的 Web 服 务 的 一 部 分 。 同 样 重要 的 
是 组 件 架 构 的 交付 ， 它 们 提供 现成 的 类 、 遂 数 和 程序 设计 接口 ， 用 于 
基于 Web 环 境内 的 工作 。 


Web 服 务 应 用 程序 通常 用 于 这 样 的 情况 : 要 求 有 一 个 简单 的 客户 
端 连接 到 维护 库存 清单 或 处 理 订单 的 服务 器 。 例 如 ， 某 家 制造 企业 就 
可 能 会 使 用 一 个 Web 服 务 程序 来 安排 订单 、 跟 踪 交 付 情况 和 维护 有 关 
库存 内 容 的 最 新 信息 。 

几乎 所 有 大 型 公司 都 需要 跟踪 固定 设备 、 订 单 和 库存 清单 的 软 
件 。Web 服 务 框架 可 以 很 好 地 把 完全 不 同 的 服务 和 业务 聚合 在 一 个 统 
一 的 环境 中 。 

图 20.1 显 示 的 是 一 个 完整 的 Web 服 务 场景 。 在 前 端 (图 20.1 的 左 
ee a 
通过 客户 端 计算 机 上 的 Web 浏 览 器 应 用 程序 提供 用 户 界 面 。 在 后 端 
程序 员 依 靠 预先 存在 的 数据 存储 系统 (由 一 个 SQL 数 据 库 提供 ) 。 这 
样 ， 程 序 员 就 可 以 专注 于 图 20.1 的 中 间 部 分 ， 而 现成 的 Web 服 务 平台 
组 件 可 以 更 进一步 简化 程序 设计 任务 。 


Web 自 定义 的 数据 库 
基础 设施 应 用 程序 基础 设施 


Web 服务 器 


自 定 义 的 
应 用 程序 


图 20.1 Web 服 务 程序 设计 模型 


数据 以 一 种 标准 的 标记 格式 (通常 是 XML) 在 web 服务 系统 的 各 
个 组 件 之 间 传 输 。 但 是 ， 现 在 其 他 替代 技术 (比如 JavaScript 对 象 表示 
法 [JavaScript Object Notation, JSON]) 也 开始 逐渐 流行 起 来 。 

XML 是 一 种 高 效 且 通用 的 方法 ， 用 于 为 属性 赋值 。 强 大 的 web 服 
务 范例 已 经 带 来 了 很 多 创新 和 发 展 。 专 家 们 很 快 就 认识 到 ， 如 果 系 统 
可 以 使 用 XML 格式 在 网 络 上 实际 调用 服务 或 生成 响应 ， 那 么 它们 将 
会 表现 得 更 棒 。 简 单 对 象 访问 协议 (Simple Object Access Protocol, 
SOAP) 提供 了 一 种 标准 的 方法 ， 用 于 在 Web 服 务 进程 之 间 传 输 基 于 
XML 的 数据 。SOAP 同 时 还 描述 如 何 利用 XML 和 HTTP 来 调用 远程 过 


程 。 本 章 后 面 会 讲 到 ，SOAP 消息 在 通过 Web 服 务 描述 语言 (Web 
Services Description Language, WSDL) 定义 的 网 络 服务 之 间 传 递 。 

其 他 专家 提倡 另外 一 种 回归 本 源 的 方法 (back-to-basics 
approach) ， 这 是 一 种 精心 设计 的 系统 ， 可 以 通过 标准 的 HTTP 命令 来 
操作 。 表 述 性 状态 转移 (Representational State Transfer, REST) 架构 
反映 了 这 种 简化 设计 的 重点 。 


20.2 XML 


用 户 、 软 件 广 商 和 Web 设 计 人 员 习 惯 HTML 之 后 ， 他 们 融 开 始 提 
出 了 更 高 的 要 求 。 随 着 服务 器 端 和 客户 端 程序 设计 技术 的 发 展 ， 许 多 
专家 都 想 知道 ， 是 否 能 有 一 种 万 式 来 扩展 采 板 的 HTML 标记 系统 。 他 
们 的 目标 是 ， 突 破 标记 语言 作为 一 种 格式 化 文本 和 图 形 的 手段 的 概 
念 ， 而 将 该 语言 只 用 作 一 种 传输 数据 的 手段 。 这 一 讨论 的 结果 ， 就 是 
一 种 新 的 被 称 为 可 扩展 标记 语言 (XML) 的 标记 语言 。 

HTML 数据 的 含义 和 上 下 层 关 系 被 限制 在 你 可 以 使 用 一 组 预定 义 
的 HTML 标 记 所 能 表示 的 沁 围 内 。 如 果 数 据 被 封装 在 <H1> 标 记 内 ， 则 
被 认为 是 一 个 标题 。 如 果 数 据 被 封闭 在 <A> 标 记 内 ， 则 被 认为 是 一 个 
链接 。 而 XML 则 从 另 一 个 角度 出 发 ， 人 允许 用 户 定 义 他 们 自己 的 元 素 。 
数据 可 以 表示 你 希望 它 表 示 的 任何 意思 ， 而 且 你 可 以 创造 出 准备 用 来 
标识 数据 的 标记 。 例 如 ， 如 果 你 关注 赛马 ， 则 可 以 利用 有 关 你 所 喜爱 
的 马匹 的 信息 ， 创 建 一 个 XML 文件 。 该 文件 可 以 包含 这 样 的 条 目 : 

<horses> 

<horse_name="winky" breed="Thoroughbred"> 

<sex="male" /> 

<age="3" /> 

</horse> 

<horse_name="Goddess" breed="Arabian"> 

<sex="female" /> 

<age="3" /> 

</horse> 
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<horse_name=""Gecko" breed="Uncertain"> 
<sex="male" /> 


<age="14" /> 


</horse> 

</horses> 

XML 格式 看 上 去 与 HTML 有 点 相像 ， 但 是 它 当 然 不 是 HTML (你 
能 想象 如 果 你 试图 把 <horse_name> 用 作 一 个 HIML 标 记 ， 你 的 浏览 
会 变 得 慢 到 什么 程度 吗 ) 。 在 XML 中 ， 你 可 以 使 用 希望 使 用 的 任何 标 
记 ， 因 为 你 并 不 像 Web 浏 览 器 那样 为 某 些 严格 预定 义 的 特定 应 用 程序 
准备 数据 。 数 据 就 是 数据 。 这 里 的 理念 是 ， 不 管 是 谁 创建 了 当前 文件 
的 结构 ， 他 稍 后 会 来 创建 一 个 应 用 程序 或 样式 表 读 取 该 文件 ， 并 理解 
其 中 数据 的 含义 。 

一 个 独立 的 文档 包含 XML 模式 (schema) (用 来 格式 化 和 解释 
XML 数据 的 路 标 ) 。 模 式 文档 的 出 现 使 得 人 们 可 以 轻松 得 验证 XML 
数据 的 有 效 性 ， 而 且 还 可 以 轻松 创建 能 够 分 析 和 处 理 XML 数 据 的 新 的 
客户 端 应 用 程序 。 

XML 是 一 种 功能 非常 强大 的 工具 ， 用 于 在 应 用 程序 之 间 传 递 数 
据 。 脚 本 或 自 编 应 用 程序 很 容易 创建 XML 作为 输出 ， 或 者 是 把 XML 
作为 输入 进行 读 入 。 尽 管 浏览 器 不 能 直接 阅读 XML， 但 是 XML 在 Web 
上 的 应 用 仍然 十 分 广泛 。 在 某 些 情况 下 ，XML 数 据 在 服务 器 端 生成 ， 
然后 在 传输 给 浏览 器 之 前 转换 为 便于 显示 的 HTML。 另 一 种 技巧 是 提 
供 一 个 称 为 层 琶 式样 式 表 (Cascading Style Sheet, CSS) 的 附带 文 
件 ， 告 知 如 何 解 释 和 显示 XML 数据 。 然 而 ，XML 并 不 限于 Web 应 用 。 
程序 员 们 正 将 XML 用 于 要 求 一 种 简便 格式 来 为 属性 赋值 的 其 他 语 境 。 

XML 现在 已 远 不 止 于 作为 一 种 普通 的 Web 格 式 用 来 存储 和 传输 数 
据 。 只 要 编写 XML 数据 的 应 用 程序 和 读 取 相 应 数据 的 应 用 程序 在 元 素 
的 含义 方面 达成 一 致 ， 数 据 就 可 以 借助 XML 奇迹 般 的 特性 ， 在 这 两 个 
应 用 程序 之 间 轻 松 并 且 经 济 地 传递 了 。 

注意 : 模式 


术语 “模式 ”有 时 会 与 用 来 提供 XML 架构 的 大 量 模式 语言 一 并 使 
用 。W3C 也 提供 了 一 份 称 为 XML 模式 语言 的 正式 规范 ， 它 可 以 用 来 创 
建 兼容 W3C 的 XML 模式 文档 (XML Schema Document, XSD) 模式 文 
件 ， 该 文件 的 扩展 名 为 .xsd。 


20.3 SOAP 


XML 定义 了 一 种 用 来 交换 应 用 程序 数据 的 通用 格式 。 然 而 ， 这 种 
通用 的 XML 规范 尚 不 足以 单独 为 开发 人 员 提 供 创 建 易 于 使 用 的 一 流 
Web 服 务 所 需 的 基础 结构 。 尽 管 XMIL 为 读 写 程序 数据 提供 了 一 种 高 效 
的 格式 ， 但 是 它 本 身 并 没有 为 构建 和 解释 相应 的 数据 提供 标准 格式 。 
SOAP 规 范 则 充当 了 这 个 角色 。 它 是 一 种 标准 协议 ， 用 来 交换 在 Web 服 
务 客户 端 和 服务 器 之 间 传 递 的 基于 XML 的 消息 。 

SOAP 用 来 支持 所 谓 的 SOAP 节 点 之 间 的 通信 (SOAP 节 点 主要 是 
支持 SOAP 的 计算 机 或 者 是 应 用 程序 ) 。SOAP 规 范 定义 了 从 SOAP 发 
送 者 传递 到 SOAP 接 收 者 的 消息 结构 。 沿 途 ， 该 消息 可 能 会 经 过 以 某 
种 方式 处 理 其 中 信息 的 中 间 节 点 ( 见 图 20.2) 。 中 间 节 点 可 能 会 提供 
日 志 记 录 功 能 ， 也 可 能 会 在 所 传递 的 消息 一 路 到 达 其 最 终 目的 地 的 过 
程 中 以 某 种 方式 修改 它 。 

从 概念 上 来 讲 ， 来 自 客户 端的 一 条 SOAP 消息 会 说 :“ 这 是 某 种 输 
入 。 处 理 这 个 ， 并 将 输出 发 送 给 我 "。 应 用 程序 的 功能 衍生 自 一 连 串 这 
种 基于 XML 的 SOAP 消 息 ， 发 送 端 和 接收 端 在 其 中 发 送信 息 和 接收 响 
应 。SOAP 消息 的 正规 结构 使 得 软件 开发 人 员 能 够 轻松 创建 基于 SOAP 
的 客户 端 应 用 程序 ， 与 服务 器 进行 相互 。 例 如 ， 一 家 通过 基于 Web 的 
服务 器 应 用 程序 提供 汽车 租赁 预约 的 租赁 公司 ， 可 以 轻松 地 为 开发 人 
员 提 供 规 范 ， 以 便 编写 一 个 自 定义 的 客户 端 应 用 程序 ， 能 够 连接 到 服 
务 器 并 预约 汽车 。 

SOAP 消息 的 结构 由 一 个 可 选 的 报头 和 消息 主体 组 成 。 报 头 包 含 
标注 、 定 义 以 及 将 被 消息 沿途 任意 节点 使 用 的 元 消息 。 消 息 主体 包括 
打算 供 该 消息 接收 者 所 使 用 的 数据 。 例 如 ， 在 前 面 的 汽车 预约 服务 
中 ， 消 息 主 体 就 可 能 包含 来 自 客户 端的 数据 ， 描 述 客 户 想 要 租借 的 汽 
车 ， 以 及 该 车 必须 可 以 使 用 的 日 期 。 


中 间 节 点 


— 基于 XML 的 
SOAP 消息 


SOAP 响应 


图 20.2 SOAP 消息 从 发 送 者 传递 到 接收 者 可 能 会 经 过 中 间 节 点 


20.4 WSDL 


Web 服 务 描述 语言 (Web Services Description Language, WSDL) 
提供 一 种 XML 格 式 ， 用 于 描述 与 Web 服 务 应 用 程序 相关 的 服务 。 根 据 
W3C 的 WSDL 规 范 ,，“WSDL 是 一 种 用 于 描述 网 络 服务 的 XML 格 式 ， 它 
将 网 络 服务 描述 为 一 组 能 对 包含 面向 文档 信息 或 面向 过 程 信息 的 消息 
进行 操作 的 端点 (endpoint) 。”WSDL 是 一 种 用 来 定义 通过 SOAP 消 息 
交换 信息 的 服务 的 格式 。 

WSDL 文 档 主 要 是 一 组 定义 。 文 档 中 的 那些 定义 指定 了 有 关 被 传 
俞 数 据 和 与 该 数据 相关 的 操作 的 信息 ， 以 及 与 相应 服务 和 服务 位 置 相 
关 的 其 他 数据 。 

WSDL 并 不 限于 SOAP， 也 可 以 和 其 他 Web 服务 通信 协议 一 同 使 
用 。 在 某 些 情况 下 ， WSDL 直 接 与 HITP 一 同 使 用 ， 以 便 简化 设计 ， 
并 在 HITP 核 心 处 将 动作 限定 为 更 加 基础 的 GET 和 POST 样式 操作 。 


20.5 Web 服 务 协议 栈 


有 了 XML、SOAP、WSDL 以 及 TCP/IP 和 Web 服 务 框架 的 基础 组 
件 ， 开 发 人 员 就 可 以 轻松 地 创建 出 大 小 适度 且 简 单 易 懂 的 客户 端 和 服 
务 器 应 用 程序 ， 通 过 Web 界 面 进行 通信 。 类 似 TCP/IP 本 身 ，Web 服 务 
环境 也 是 由 一 堆 组 件 组 成 。 主 要 软件 厂商 都 有 他 们 自己 的 Web 服务 协 
议 栈 ， 供 客户 使 用 。 完 整 的 系统 包括 服务 器 软件 、 开 发 人 员工 具 甚 至 
提供 给 客户 的 计算 机 硬件 ， 连 同 咨询 服务 以 及 有 时 包括 的 定制 应 用 程 
序 一 起 。 

Linux 厂 商 和 开发 人 员 经 常 谈论 LAMP 协 议 栈 ， 那 是 一 个 开源 组 件 
集 ， 可 以 轻松 地 针对 Web 服 务 环境 进行 修改 。LAMP， 这 个 著名 的 首 
字母 缩写 词 ， 清 楚 地 说 明了 该 协议 栈 的 主要 组 成 部 分 。 

> Linux: 一 种 支持 服务 器 应 用 程序 在 服务 器 系统 上 运行 的 操作 
系统 。 

> Apache: 一 种 提供 基于 XML 的 SOAP 消 息 的 Web 服 务 器 。 

> MySQL: 一 种 提供 对 后 端 数 据 服务 访问 的 数据 库 系统 。 

> PHP (或 者 是 Perl 或 Python) : 一 种 用 于 Web 的 程序 设计 语 
言 ， 用 来 编码 自 定义 Web 服 务 应 用 程序 的 细节 。 

所 有 的 Web 服 务 基础 结构 均 提 供 相似 的 特性 。Java 程 序 设 计 语 言 
经 常 与 Web 服 务 一 同 使 用 ， 不 只 是 Oracle/Sun 公 司 (Java 的 创作 者 ) 如 
此 ，IBM 公 司 的 WebSphere 和 其 他 系统 中 也 经 常 这 样 。Microsoft 公 司 通 
过 .NET 框 架 的 工具 提供 与 Java 相 当 的 功能 。 


20.6 REST 


强大 的 XML 和 客户 端 /服务 器 模型 导致 各 种 共享 请 求 和 传输 数据 的 
应 用 程序 层出不穷 ， 从 而 使 得 自 定义 的 服务 器 能 够 为 自 定义 的 客户 端 
传递 任何 格式 的 自 定义 信息 。 但 是 ， 当 开发 人 员 开 始 构 建 Web 服 务 应 
用 程序 时 ， 他 们 发 现 客户 端 和 服务 器 之 间 存 在 的 那 种 复杂 而 且 高 度 专 
业 化 的 非 标 准 交 互 会 产生 大 量 问 题 。 例 如 ， 开 发 人 员 很 难 编写 出 那 种 
必须 具备 服务 器 相关 的 方法 和 结构 等 专业 知识 的 客户 端 应 用 程序 (而 
且 开 发 人 员 也 很 难 将 其 移植 到 其 他 平台 ) 。 从 另 一 方面 来 说 ， 服 务 器 
必须 通过 一 系列 状态 的 变化 ， 才 能 与 客户 端 进行 复杂 的 多 级 交互 ， 而 
且 这 些 状态 的 变化 可 能 会 导致 并 发 问题 和 意料 之 外 的 问题 。 近 年 来 ， 
开发 人 员 已 经 选 定 了 一 个 名 为 表述 性 状态 转移 (REST) 的 设计 理念 3 
解决 这 些 问题 。 

REST 实 际 上 是 在 HTTP 1.1 的 时 代 开 发 出 来 的 。REST 的 概念 
2000 年 由 Roy Fielding 在 他 的 博士 论文 “架构 风格 与 基于 网 络 的 软件 架 
构 设 计 (Architectural Styles and the Design of Network-based Software 
Architectures) "中 首次 定义 。 在 近年 来 ，REST 日 渐 流 行 ， 现 在 已 经 成 
为 在 几 百 万 个 本 地 Web 应 用 程序 和 几 千 个 世界 级 的 大 流量 网 站 中 使 用 
的 主导 原则 。 

与 SOAP 不 同 ，REST 目 身 并 不 是 一 种 协议 ， 它 是 一 种 用 来 创建 简 
单 、 整 洁 和 可 移植 的 基于 Web 的 应 用 程序 的 设计 理念 。REST 系 统 将 通 
信 过 程 归 结 为 下 面 几 个 基本 的 元 素 : 

> 资源 : 请 求 的 目标 《客户 端 想 要 的 东西 ) 。 它 可 以 是 一 个 网 
页 、 一 个 数据 库 记 录 ， 也 可 以 是 其 他 编程 对 象 。 

> 资源 标识 符 : 一 个 对 资源 命名 的 URI。 

> 表示 : 来 自 服务 器 的 响应 ， 用 于 传输 精巧 的 (finished) 格式 
中 的 资源 。 注 意 ， 资 源 没 有 必要 存储 到 要 发 送 给 客户 端的 表 属 性 表格 


Y 


(representational form) 中 。 对 象 可 以 在 服务 器 端 动态 地 组 装 到 发 送 
给 客户 端的 表 属 性 表格 中 。 

注意 : 元 数据 

除了 主要 的 REST 元 素 资源、 资源 标识 符 和 表示 ) 之 外 ， 还 有 很 
多 其 他 形式 的 资源 和 表述 性 元 数据 可 以 与 消息 一 起 传输 ， 以 阐明 数据 
的 性 质 。 

REST 系统 的 重要 组 成 部 分 是 ， 客 户 端 不 会 告诉 服务 器 去 做 什 
么 ， 而 是 告诉 服务 器 “ 它 (客户 端 ) MBA”. REST HAS RAB 
义 上 的 API 〈 即 客户 端 调用 服务 器 上 的 进程 ) 。 相 反 ， 客 户 端 只 是 以 
URI 的 形式 发 送 一 个 资源 标识 符 ， 以 指明 它 想 添加 、 查 看 或 者 修改 的 
资源 ， 并 在 URI 的 主体 内 提供 必要 的 信息 来 完成 该 请 求 。 

通过 一 个 基本 的 REST 请 求 来 指定 的 唯一 行为 是 一 个 标准 的 HTTP 
Aik: 

> GET: 从 服务 器 获取 资源 。 

> PUT: 直接 创建 或 修改 资源 。 

> POST: 向 服务 器 提交 数据 ， 以 修改 资源 。 

> HEAD: 获取 与 资源 相关 的 元 数据 。 

通过 将 可 用 的 方法 局 限 在 标准 的 HTTP 请 求 (所 有 的 Web 程 序 员 都 
了 解 这 些 标准 的 HTTP 请 求 ， 而 且 这 些 请 求 都 可 用 于 所 有 的 Web 服 务 
器 ) 中 ， 可 以 进一步 简化 REST 系 统 ， 并 确保 可 移植 性 。 

POST 和 PUT 命令 之 间 的 区 别 值 得 我 们 进行 思考 。PUT 将 替换 整 
个 资源 内 容 ， 而 PUT 只 是 将 信息 提交 给 服务 器 ， 以 用 于 更 新 资源 ， 而 
且 不 会 假定 更 新 发 生 的 方式 〈 见 图 20.3) 。PUT 通 常 被 称 之 为 等 窜 的 
(idempotent) ， 也 就 是 说 ， 无 论 该 命令 执行 多 少 次 ， 相 同 的 行为 必定 
为 产生 相同 的 结果 。 而 POST 则 无 法 保证 这 样 的 结果 。 例 如 ，POST 
命令 可 能 会 在 一 个 文档 的 末尾 添加 一 行文 本 ， 当 时 多 次 执行 该 命令 
时 ， 其 输出 每 次 都 不 相同 ， 因 为 你 每 执行 一 次 该 命令 ， 就 会 添加 一 行 


文本 。REST 设 计 原则 强调 尽 可 能 地 使 用 等 窜 的 方法 ， 但 是 在 必要 的 情 
况 下 ， 也 会 使 用 POST 方法 。 这 种 对 等 必 操 作 的 强调 是 REST 系 统 的 

一 个 定义 的 特性 (defining feature) 。 例 如 ， 基 于 SOAP 的 系统 往往 会 

广泛 使 用 非 等 属 的 POST 操作 ， 就 最 小 化 数据 传输 和 网 络 带宽 而 言 ， 这 
种 操作 方式 的 效率 很 高 。 出 于 简洁 性 和 清晰 度 考虑 ，REST 进行 了 权 

威 性 的 声明 ， 但 是 这 样 会 以 偶尔 牺牲 掉 边际 性 能 优势 为 代价 。 
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图 20.3 HTTP 的 PUT 方法 更 新 整个 资产 ， 而 POST 方法 只 提供 更 新 所 
需要 的 信息 ， 其 中 可 能 包括 添加 文本 或 修改 现 有 的 资源 


尽管 REST 服 务 有 时 支持 JSON 和 普通 的 HTML ， 但 是 传输 到 服务 
器 的 数据 通常 是 XML 格式 的 。 理 想 情 况 下 ， 从 服务 器 返回 的 数据 位 于 
表述 性 表单 中 ， 该 表单 通常 是 HTML 格 式 或 web 浏览 器 可 以 轻易 处 理 
的 其 他 格式 。 

读者 可 能 已 经 猿 到 ，REST 系 统 中 主要 关注 的 是 URI 的 结构 。URI 
是 分 层次 的 ， 而 且 指 向 的 是 对 象 GR) 。 当 然 ，URI 的 中 间 层 可 以 
指向 一 组 对 象 。 此 时 ，REST URI 的 结构 看 起 来 通常 与 目录 路 径 的 结构 
相似 ， 都 是 遍历 一 系列 更 精细 (ever-more granular) 的 容器 或 集合 ， 
到 达 位 于 字符 串 末 尾 的 记录 ID。 该 方法 似乎 是 显而易见 的 〈 因 为 URI 
最 初 的 目的 就 是 沿 着 一 条 目录 路 径 向 下 ， 最 终 指 向 一 个 文件 ) ， 但 是 
这 种 回归 本 源 的 方法 却 与 Web 服 务 模型 中 的 其 他 发 展 形成 鲜明 对 比 ， 
在 后 者 中 ，URI 中 包含 复杂 的 命令 字符 串 ， 并 将 该 字符 串 发 送 给 服务 
器 ， 以 获得 执行 。 


除了 提供 简洁 性 和 可 移植 性 之 外 ，REST 模型 还 提供 了 更 好 的 统 
一 安全 措施 ， 因 为 它 屏 蔽 了 服务 器 中 的 所 有 的 服务 器 操作 ， 并 让 该 操 
作 远 离 了 接口 。 另 外 一 种 通过 URI 将 命令 传输 给 服务 器 的 技术 ， 在 Web 
服务 的 早期 很 常见 ， 它 属于 入 侵 技术 的 一 种 ， 但 是 不 容易 穿 透 安全 而 
且 设 计 民 好 的 REST 系 统 。 因 此 ， 高 流量 的 站 点 (比如 Amazon、eBay 
和 YouTube) 使 用 REST 设 计 原 则 也 就 不 奇怪 了 。 

注意 : REST 风 格 

围绕 着 REST 沁 例 设计 的 网 站 、 服 务 或 开发 框架 都 是 具有 REST 
风格 (RESTful) 的 。 


20.7 电子 商务 


电子 商务 站 点 不 必 按 照 本 章 前 面 所 描述 的 Web 服 务 范例 来 实现 ; 
不 过 ， 它 仍 有 可 能 使 用 某 些 Web 服务 技术 ， 尤 其 是 在 后 端 。 对 于 应 用 
程序 和 组 件 ， 可 以 利用 Web 工具 组 合 在 一 起 的 方式 ， 电 子 商务 就 是 一 
种 态度 鲜明 的 示例 。 

供 货 商 和 广告 商 早 就 开始 注意 到 ，Web 是 一 种 促使 人 们 购物 的 绝 
好 方式 。 众 所 周知 ， 许 多 网 站 看 上 去 就 像 是 又 长 又 复杂 的 广告 。 不 去 
管 那些 大 肆 宣 传 ， 它 们 已 足以 使 得 任何 人 都 不 相信 其 设计 的 有 效 性 ， 
但 事实 上 ，Web 仍 是 一 种 方便 并 且 划 算 的 购物 方式 。 供 货 商 不 必 有 再 通 
过 直接 邮寄 广告 来 发 送 成 干 上 万 份 目录 ， 而 可 以 简单 地 把 产品 目录 张 
贴 到 Web 上 ， 让 消费 者 通过 搜索 和 链接 来 找到 它 。 

在 供 货 商 解决 与 在 开放 式 的 Internet 上 发 送信 用 卡 信息 相关 的 安 
全 问题 之 前 ，Web 上 的 购买 业务 其 实 并 没有 真正 开始 。 事 实 上 ， 没 有 
那些 安全 的 网 络 技术 ，Internet 销 售 甚至 不 会 成 为 可 能 。 目 前 ， 绝 大 多 
数 浏览 器 都 能 够 开辟 一 个 安全 的 通信 和 通道， 连接 到 服务 器 。 这 种 安全 
通道 使 得 网 络 大 盗 无 法 窍 听 密 码 或 信用 卡 信息 。 

图 20.4 显 示 的 是 一 个 典型 的 Web 交 易 场景 ， 整 个 过 程 如 下 所 示 。 
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图 20.4 典型 的 Web 交易 场景 


1. 一 台 Web 服务 器 提供 一 个 可 以 从 Web 访问 的 在 线 产 品目 录 。 
一 名 用 户 通过 Internet 从 一 个 远程 位 置 浏览 这 些 产 品 信息 。 

2. 该 用 户 决定 购买 一 个 产品 ， 并 单 击 了 相应 网 页 上 的 “购买 此 产 
品 ” 链 接 。 

3. 服务 器 和 浏览 器 建立 一 个 安全 的 连接 。 在 这 时 ， 浏 览 器 有 时 会 
显示 一 则 消息 ， 内 容 类 似 “ 你 现在 正 进入 一 个 安全 区 域 .………”。 不同 浏 
览 器 有 不 同 的 方法 来 表示 这 是 一 个 安全 连接 。 


4. 在 上 述 连接 建立 之 后 ， 紧 接着 通常 会 是 某 种 形式 的 身份 验证 。 
在 绝 大 多 数 交 易 站 点 上 ， 购 物 者 会 与 供 货 商 确立 某 种 形式 的 用 户 账 
户 。 这 一 方面 是 出 于 安全 考虑 ， 一 方面 是 为 了 方便 (那样 用 户 就 可 以 
跟踪 购买 的 状态 了 ) 。 用 户 账户 信息 同时 使 得 供 货 商 能 够 跟踪 用 户 的 
行为 ， 并 将 用 户 的 个 人 信息 与 购买 历史 联系 在 一 起 。 这 个 登录 步骤 要 
求 Web 服 务 器 联系 某 种 后 端 数 据 库 服务 器 ， 建 立 一 个 新 的 账户 或 者 是 
检查 提交 的 证 明 信 息 以 登录 某 个 现 有 账户 。 最 近 ， 另 外 一 种 方法 逐渐 
流行 开 来 ， 它 可 以 在 不 需要 登录 的 情况 下 ， 直 接 在 会 话 内 提供 信用 信 
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5. 在 用 户 登 录 之 后 ， 服 务 器 《或 者 是 在 服务 器 后 端 工 作 的 某 个 应 
用 程序 ) 必须 核实 信用 卡 信息 ， 并 且 与 某 一 信用 卡 权力 机 构 登 记 相 应 
的 交易 。 通 常 ， 这 里 所 说 的 信用 卡 权 力 机 构 就 是 隶属 于 信用 卡 公司 的 
一 个 商业 服务 机 构 。 

6. 如 果 该 交易 被 认可 ， 购 买 和 投递 信息 的 通知 就 会 被 传输 到 供 货 
商 的 履行 部 门 ， 而 交易 应 用 程序 则 会 管理 用 户 确认 的 此 次 购买 的 最 终 
详细 资料 ， 并 更 新 该 用 户 的 账户 资料 。 

操作 系统 厂商 (例如 Oracle, IBM 和 Microsoft 公司 ) 提供 交易 服 
务 器 应 用 程序 ， 来 帮助 完成 通过 Web 处 理 订 单 的 重要 任务 。 因 为 Web 
交易 非常 特殊 ， 而 且 因 为 它们 需要 有 一 个 接口 与 供 货 商 网 络 上 的 现 有 
应 用 程序 交互 ， 所 以 应 用 程序 框架 通常 提供 专用 工具 来 帮助 完成 构建 
交易 基础 结构 的 任务 。 

请 注意 ， 图 20.4 在 交易 基础 结构 内 省 略 了 防火 墙 的 作用 。 大 型 商 
业 网 络 可 能 会 在 web 服务 器 之 后 包括 一 个 防火 墙 ， 保 护 其 网 络 ， 并 在 
Web 服 务 器 之 前 放置 另 一 个 防火 墙 ， 阻 止 某 些 流量 ， 但 让 服务 器 接受 
Web 请 求 。 而 且 ， 在 高 容量 网 站 上 ， 你 很 可 能 会 发 现 有 一 组 web 服务 
器 在 分 担负 载 ， 而 不 只 是 一 台 服 务 器 。 


从 Web 服 务 器 到 后 端 服务 器 的 连接 ， 可 以 穿 过 一 个 受 保护 的 内 部 
网 络 。 此 外 ， 到 后 端的 连接 ， 也 可 以 通过 一 条 与 主 网 络 分 开 的 专用 线 
路 。 信 用 卡 验证 服务 器 ， 通 常 是 由 另外 一 家 公司 提供 的 一 项 远 距 离 服 
务 ， 需 要 通过 一 个 安全 的 Internet 和 连接 进行 访问 。 


20.8 小 结 


Web 工 具 为 许多 种 应 用 程序 开发 提供 了 一 个 背景 。 除 了 简单 的 网 
页 和 Web 表 单 外 ， 开 发 人 员 正 在 把 安排 预约 、 跟 踪 库 存 和 处 理 购 货 订 
单 的 复杂 应 用 程序 装配 在 一 起 。 本 章 描述 了 Web 服 务 范例 核心 处 的 一 
些 技术 。 读 者 应 该 已 经 知道 Web 服 务 基础 结构 及 其 重要 性 。 本 章 还 讨 
PT 3 个 重要 的 Web 服 务 组 件 : XML、SOAP 和 WSDL， 并 讲解 了 
REST Web 服 务 架 构 。 最 后 ， 本 章 还 简要 介绍 了 Web 交 易 的 结构 。 


20.9 问 与 答 


问 : 与 传统 的 客户 端 /服务 器 程序 设计 相 比 ，Web 服 务 模型 有 何 优 
4? 

=: Web 服务 模型 用 来 集成 绝 大 多 数 网 络 上 已 有 的 标准 组 件 〈 例 
如 Web 服务 器 和 Web 浏 览 器 应 用 程序 ) 。 

问 : 为 什么 web 服 务 模型 基于 XML ， 而 不 是 HTML? 

=: HMTIL 是 一 组 预先 定义 的 标记 ， 是 一 种 专门 用 于 网 页 的 标记 
语言 。 而 XML 几 乎 能 够 毫 无 限制 地 定义 新 元 素 和 为 变量 赋值 。 

m: 既然 无 数 厂商 都 有 他 们 自己 的 语言 和 组 件 来 支持 Web 服 务 ， 
那么 像 SOAP 和 WSDL 这 样 的 统一 标准 有 什么 益处 呢 ? 

E: 像 SOAP 和 和 WSDL 这 样 的 标准 可 以 提供 一 种 通用 格式 ， 从 而 使 
得 针对 不 同 厂商 环境 编写 的 组 件 可 以 轻松 地 相互 作用 。 


20.10 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


20.10.1 问题 

. 什么 是 XML 模式 ? 

. HTTP PUT 和 POST 方法 的 区 别 是 什么 ? 

. 为 什么 REST 格 外 看 重 PUT? 

.为 什么 很 多 专家 觉得 REST 要 比 其 他 类 似 的 Web 服务 架构 更 安 
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20.11 关键 术语 


复习 下 列 关 键 术 语 : 


> LAMP: 一 种 开源 的 Web 服 务 协议 栈 ， 由 Linux 操 作 系统 、 
Apache Web 服 务 器 、MySQL 数 据 库 系统 和 三 种 “P” 打 头 的 程序 设计 语 
言 之 一 (PHP, PerlakPython) 组 成 。 
> 表述 性 状态 转移 (REST) : 一 种 用 于 构建 简单 和 可 移植 的 
Web 应 用 程序 的 设计 理念 。 

> SOAP: 一 种 针对 Web 应 用 程序 的 消息 交换 协议 。 
序 的 范例 。 


> Web 服 务 架构 : 一 个 用 来 围绕 Web 组 件 构 建 自 定义 网 络 应 用 程 
> WSDL (Web 服 务 描述 语言 ) 
XML 的 格式 。 


> XML (可 扩展 标记 语言 


用 来 描述 网 络 服务 的 一 种 基于 
定义 和 传输 程序 数据 的 标记 语言 。 


一 种 用 来 在 Web 服 务 应 用 程序 中 
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本 章 介绍 如 下 内 容 : 

> E-mail; 

> SMTP; 

> 垃圾 邮件 。 

即使 你 不 是 一 名 计算 机 专业 人 士 也 可 注意 到 ， 使 用 电子 邮件 进行 
交流 已 经 成 为 当今 世界 一 个 极其 普遍 的 现象 。 不 管 是 职业 关系 还 是 个 
人 关系 ， 现 在 都 依靠 电子 邮件 进行 快速 、 可 靠 的 远 距离 通信 。 本 章 将 
介绍 一 些 重要 的 电子 邮件 概念 ， 并 演示 电子 邮件 服务 是 如 何在 TCP/IP 
网 络 上 运转 的 。 

学 完 本 章 后 ， 你 可 以 : 

> 描述 电子 邮件 消息 的 各 个 部 分 ; 

> 讨论 电子 邮件 传递 过 程 ; 

> 描述 SMTP 传 输 是 如 何 工作 的 ; 

> 讨论 邮件 检索 协议 POP3 和 IMAP4; 

> 描述 邮件 客户 端的 角色 。 
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电子 邮件 消息 是 首先 在 一 台 计 算 机 上 编写 完成 ， 然 后 穿 过 一 个 网 
络 ， 传 输 给 另 一 台 计 算 机 (可 能 在 附近 ， 也 可 能 在 地 球 的 另 一 端 ) 的 
电子 信件 。 电 子 邮件 的 开发 ， 始 于 网 络 发 展 历史 的 早期 。 几 乎 在 计算 
机 刚 被 连 入 网 络 时 ， 计 算 机 工程 师 们 就 开始 想 知道 ， 是 否 人 类 和 机 器 
都 能 够 通过 那些 相同 的 网 络 链 接 进行 通信 。 

当前 的 Internet 电 子 邮件 系统 开始 于 ARPAnet 时 期 。 绝 大 多 数 
Internet 的 电子 邮件 基础 结构 均 兰 目 于 1982 年 出 版 的 两 个 文档 : RFC 
821“Simple Mail Transfer Protocol” 和 RFC 822“Standard for the Format of 
ARPA Internet Text Messages”. ILANGNA T REN, DH 
定义 新 版 本 SMTP 的 RFC 2821 (之 后 被 RFC 53218 #81) 和 RFC 
2822“Internet Message Format” (之 后 被 RFC 5322 更 新 ) 。 这 些 年 ， 还 
有 一 些 其 他 被 提议 的 电子 邮件 格式 得 到 了 开发 〈 比 如 X.400 系统 ， 以 
及 若干 专利 格式 ) ， 但 是 基于 SMTP 的 电子 邮件 的 简单 性 和 多 功能 
性 ， 已 经 使 其 成 为 Internet 上 最 具 影 响 力 的 格式 和 事实 上 的 标准 。 

电子 邮件 是 在 用 户 界 面 仍 基于 文本 的 时 期 被 发 明 的 ， 而 且 其 最 初 
目的 就 是 传输 文本 。 电 子 邮 件 消 息 格 式 是 为 了 有 效 传输 文本 而 设计 
的 。 最 初 的 电子 邮件 规范 并 不 包括 用 来 发 送 二 进 制 文件 的 规定 。 电 子 
邮件 高 效 性 的 主要 原因 之 一 是 ，ASCII 文本 传输 起 来 轻巧 而 且 简 单 。 
但 是 ， 对 于 ASCII 文 本 ， 最 终 被 证 实 是 有 限制 的 。 在 20 世 纪 90 年 代 ， 
电子 邮件 格式 被 扩展 至 包含 二 进 制 附 件 。 附 件 可 以 是 任何 类 型 的 文 
件 ， 只 要 它 不 超出 相应 的 电子 邮件 应 用 程序 所 允许 的 最 大 尺寸 。 本 章 
将 会 讲 到 ， 这 些 附 件 通 常 被 编码 为 “多 用 途 Internet 邮件 扩展 ” 

(Multipurpose Internet Mail Extensions, MIME) 格式。 现在， 用户 可 
以 在 其 电子 邮件 消息 中 附加 图 形 文件 、 电 子 表格 、 字 处 理 文档 和 其 他 
文件 。 
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你 的 电子 邮件 客户 端 应 用 程序 将 电子 邮件 消息 汇编 成 Internet 传输 
所 需 的 格式 。 在 Internet 上 发 送 的 电子 邮件 消息 由 两 个 部 分 组 成 : 报头 
和 主体 。 

类 似 消息 的 主体 ， 报 头 也 以 基于 ASCII 的 文本 形式 传输 。 这 种 报 
头 包 括 一 连 串 关键 字 字 段 名 称 ， 后 面 跟 着 一 个 或 多 个 逗号 分 开 的 值 。 
使 用 过 电子 邮件 的 任何 人 人， 都 熟悉 绝 大 多 数 邮 件 报头 字段 。 其 中 一 些 
重要 的 报头 字段 如 表 21.1 所 示 。 


表 21.1 一 些 重要 的 电子 邮件 报头 字段 


报头 字段 描 述 
收 件 人 邮件 接收 者 的 电子 邮件 地 址 
发 件 人 邮件 发 送 者 的 电子 邮件 地 直 
日 期 当前 消息 发 送 时 的 日 期 和 时 间 
主题 消息 主题 的 简要 描述 
抄 送 将 会 收 到 当前 消息 一 个 副本 的 其 他 用 户 电子 邮件 地 址 
将 会 收 到 当前 消息 一 个 隐蔽 副本 的 用 户 电子 邮件 地 址 .隐蔽 副本 是 指 其 他 收 件 人 所 不 知道 的 当前 消息 
密 件 抄 送 的 副本 。 在 “ 密 件 抄 送 ”字段 里 列 出 的 任何 电子 邮件 地 址 ， 都 不 会 出 现在 其 他 收 件 人 所 接收 到 的 
报头 中 
回复 As e 对 此 消息 答复 的 电子 邮件 地 址 ， 如 果 这 个 字段 没有 给 定 ， 那 么 答复 将 转 到 “发 件 人 ”字段 中 所 提 及 


在 报头 之 后 ， 是 一 个 空白 行 ， 而 紧 跟 着 那个 空白 行 的 就 是 消息 的 
主体 (电子 信件 的 实际 文本 ) o 

用 户 经 常 想 要 在 电子 邮件 消息 中 发 送 更 多 的 东西 ， 而 不 只 是 文 
本 。 已 经 涌现 出 许多 种 通过 电子 邮件 传输 二 进 制 文件 的 方法 。 早 期 的 
策略 包括 将 二 进 制 位 转换 为 某 种 ASCII 对 等 物 。 最 后 所 得 到 的 文件 看 
起 来 像 是 ASCII 文 本 。 实 际 上 ， 它 就 是 ASCII 文 本 ,但 是 你 无 法 读 懂 
它 ， 因 为 它 只 是 一 堆 代 表 原 始 二 进 制 码 的 杂乱 的 字母 。BinHex 工具 

(最 初 为 Mac MAR) 和 Uuencode 工 具 (最 初 为 UNIX 而 开发 ) 采用 
这 种 方法 。 你 的 电子 邮件 客户 端 必须 具有 必要 的 解码 工具 ， 才 能 将 相 
应 的 文件 转换 回 它 的 二 进 制 形式 。 

对 于 通过 电子 邮件 发 送 二 进 制 文件 ， 一 种 更 加 普遍 而 通用 的 解决 
方案 已 经 通过 MIME 格 式 显现 出 来 了 。MIME 是 一 种 用 来 扩展 Internet 
电子 邮件 能 力 的 通用 格式 。 启 用 了 MIME 的 电子 邮件 应 用 程序 ， 会 在 
传输 之 前 ， 把 二 进 制 附件 编码 成 MIME 格 式 。 当 收 件 人 下 载 电 子 邮 件 
消息 时 ， 其 计算 机 上 启用 了 MIME 的 电子 邮件 应 用 程序 将 解码 相应 的 
附件 ， 并 将 其 恢复 至 最 初 形式 。 

MIME 为 Internet 邮 件 市 来 了 如 下 一 些 创新 。 


> 扩展 了 的 字符 集 。MIME 并 不 局 限于 标准 的 128 位 ASCII 字 符 
集 。 这 意味 着 你 可 以 使 用 它 传 输 特殊 字符 以 及 在 美国 英语 中 不 存在 的 
字符 。 

> 无 限制 的 文本 行 长 度 和 消息 长 度 。 

> 针对 附件 的 标准 编码 技术 。 

> 可 以 将 图 像 、 声 音 、 链 接 和 格式 化 文本 集成 到 邮件 消息 中 。 

绝 大 多 数 电 子 邮 件 客户 端 应 用 程序 都 支持 MIME。MIME 格 式 在 好 
几 个 RFC 中 均 有 描述 。 
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与 其 他 Internet 服 务 相 似 ， 电 子 邮 件 也 是 围绕 客户 端 /服务 器 的 过 程 
构建 的 。 不 过 ， 电 子 邮 件 过 程 要 稍微 复杂 一 些 。 概 括 地 说 ， 电 子 邮件 
事务 两 端的 计算 机 均 充 当 客户 端 ， 而 邮件 消息 则 通过 这 两 者 之 间 的 服 
务 器 来 在 网 络 上 传递 。 电 子 邮 件 交 付 过 程 如 图 21.1 所 示 。 一 个 客户 端 
向 某 个 电子 邮件 服务 器 发 送 一 则 消息 。 该 服务 器 读 取 预 期 收 件 人 的 地 
址 ， 并 将 邮件 消息 转发 给 与 目的 地 地 址 相关 联 的 另 一 台电 子 邮件 服务 
器 。 邮 件 消息 被 存储 在 那 台 目的 地 电子 邮件 服务 器 的 某 个 邮箱 中 ( 邮 
箱 类 似 于 所 传 入 邮件 消息 的 一 个 文件 夹 或 者 是 队列 ) 。 该 消息 地 址 所 
指向 的 用 户 时 不 时 登录 这 人 台电 子 邮件 服务 器 查看 邮件 消息 。 在 过 去 ， 
标准 的 过 程 要 求 用 户 计 算 机 上 有 一 个 客户 端 程 序 来 下 载 在 此 用 户 邮箱 
中 等 待 的 消息 。 随 后 ， 用 户 才能 阅读 、 存 储 、 删 除 、 转 发 或 答复 相应 
的 电子 邮件 消息 。 尽 管 这 种 方法 仍然 很 普遍 ， 但 是 比较 新 的 技术 (EL 
如 IMAP 和 webmail) 允许 用 户 在 服务 器 上 管理 其 邮件 ， 而 不 必 下 载 
它们 。 

本 章 后 面 会 讲 到 ， 一 个 客户 端 应 用 程序 留心 向 外 发 送 邮 件 和 登录 
到 相应 的 服务 器 下 载 所 传 入 邮件 的 细节 。 绝 大 多 数 用 户 通过 电子 邮件 
客户 端的 界面 ， 与 上 述 电 子 邮 件 过 程 相互 作用 。 发 送 一 则 电子 邮件 消 
息 以 及 在 服务 器 之 间 转 发 它 的 过 程 ， 是 由 一 种 被 称 为 简单 邮件 传输 协 
议 (Simple Mail Transfer Protocol, SMTP) 的 电子 邮件 协议 管理 的 。 

电子 邮件 地 址 为 服务 器 提供 转发 邮件 消息 所 需 的 寻 址 信息 。 一 直 
越 来 越 流行 的 Internet 电 子 邮 件 地 址 格式 如 下 所 示 : 

用 户 @ 服 务 器 


目的 地 电子 
邮件 服务 器 


电子 邮 
件 服务 器 


图 21.1 电子 邮件 交付 过 程 


或 者 (举例 来 说 ) 

BillyBob@Klondike.net 

SallyH@montecello.com 

cravenprof@harvard.edu 

在 这 种 标准 格式 中 ，@ 符 号 之 后 的 文本 就 是 目的 地 电子 邮件 服务 
器 的 名 称 。 而 @ 符 号 之 前 的 文本 ， 则 是 收 件 人 在 该 电子 邮件 服务 器 上 
的 邮箱 名 称 。 

注意 : 电子 邮件 和 DNS 


OR ZAI RTE AE BALA BF BB EAR 2S BE 
名 。 相 应 域 的 DNS 服务 器 持 有 一 个 MX 资源 记录 ， 后 者 将 一 个 邮件 服 
务 器 与 此 域名 相关 联 。 有 关 DNS 的 更 多 细节 ， 请 见 第 10 章 。 

电子 邮件 地 址 的 格式 ， 强 调 有 关 Internet 电子 邮件 的 一 个 重要 观 
测 结论 : 电子 邮件 消息 的 目的 地 并 不 是 收 件 人 的 计算 机 ， 而 是 收 件 人 
在 电子 邮件 服务 器 上 的 邮箱 。 从 电子 邮件 服务 器 上 将 等 待 着 的 电子 邮 
件 消息 传输 到 收 件 人 计算 机 ， 这 最 后 一 步 实 际 上 是 一 个 单独 的 过 程 。 
本 章 后 面 会 讲 到 ， 这 最 后 一 步 是 通过 某 种 检索 协议 来 管理 的 ， 比 如 说 
邮局 协议 (Post Office Protocol, POP) 或 Intermet 消 息 访问 协议 
(Internet Message Access Protocol，IMAP) 。 

为 了 提高 传递 效率 ， 有 些 网 络 使 用 分 级 的 电子 邮件 服务 器 体系 。 
在 这 种 情况 下 〈 见 图 21.2) ， 有 一 台 本 地 电子 邮件 服务 器 向 中 继 电 子 
邮件 服务 器 转发 消息 。 中 继 电 子 邮件 服务 器 接着 把 相应 的 邮件 发 送 给 
目的 地 网 络 上 的 另 一 台中 继 服务 器 ， 然 后 ， 这 人 台中 继 服务 器 再 把 邮件 
消息 发 送 给 与 收 件 人 相关 联 的 本 地 服务 器 。 


电子 邮 一 一 | A = Internet = - = - 电子 邮 
A > = = = Jo 


图 21.2 中 继 服务 器 通常 可 以 增加 邮件 传递 过 程 的 效率 
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SMTP 是 电子 邮件 服务 器 用 来 在 TCP/IP 网 络 上 转发 消息 的 协议 。 
发 起 某 一 电子 邮件 消息 的 客户 端 计算 机 ， 也 使 用 SMTP 来 向 某 台 本 地 
服务 器 发 送 该 消息 以 进行 传输 。 

用 户 永远 都 不 必 使 用 SMTP 交 谈 ， 因 为 SMTP 通 信 过 程 在 后 台 进 
行 。 不 过 ， 有 了 时候 需 要 知道 一 点 SMTP 知 识 ， 以 便 理解 针对 未 送 达 邮 
件 的 出 错 信 息 。 而 且 ， 程 序 和 上 脚本 有 时 会 直接 访问 SMTP， 向 网 络 管 
理 员 发 送 电子 邮件 警告 和 警报 。 

与 其 他 的 TCP/IP 应 用 服务 相似 ，SMTP 也 通过 TCP/IP 协 议 栈 与 网 
络 进 行 通信 。 电 子 邮件 应 用 程序 的 职责 很 简单 ， 因 为 该 应 用 程序 可 以 
依靠 TCP/IP 协 议 软 件 的 连接 和 验证 服务 。 默 认 情 况 下 ，SMTP 通 信 通 
过 到 SMTP 服 务 器 端口 25 的 一 个 TCP 连 接 进行 。 客 户 端 与 服务 器 之 间 的 
对 话 ， 由 客户 端 发 出 的 四 字符 标准 命令 (和 数据 ) 以 及 不 时 地 从 服务 
器 发 出 的 三 位 响应 代码 组 成 。 表 21.2 显 示 了 一 些 SMTP 客 户 端 命令 。 相 
应 的 服务 器 响应 代码 如 表 21.3 所 示 。 


UAA 
any 


al 
\ 
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命 + 
HELO 
MAIL FROM: 
RCPTTO: 
DATA 
NOOP 
QUIT 


RESET 


你 好 《客户 端 请 求 与 服务 器 建立 一 个 连接 ) 
放 在 发 送 用 户 的 电子 邮件 地 址 之 前 

放 在 接收 用 户 的 电子 邮件 地 址 之 前 

宣告 开始 传输 消息 内 容 的 意向 

要 求 服务 器 发 送 一 个 OK 答复 

要 求 服务 器 发 送 一 个 OK 答复 并 终止 会 话 
异常 中 止 邮 件 事务 处 理 


表 21.3 部 分 SMTP 服 务 器 响应 代码 


220 <domain> 服 务 已 经 准备 好 

221 <domain> 服 务 正 在 关闭 传输 通道 

250 折 请 求 的 动作 成 功 完成 

251 用 户 不 在 本 地 。 消 息 将 被 转发 给 <path> 
354 开始 发 送 数据 。 用 字符 串 <CRLF>.<CRLF> ( 它 表 示 一 行 上 的 一 个 句点 ) 结束 数据 
450 折 于 邮箱 忙 ， 动 作 没 有 被 执行 

500 语法 错误 : 命令 未 被 认可 

501 语法 错误 : 参数 或 自 变 量 有 问题 

550 归于 未 找到 邮箱 ， 动 作 没有 被 执行 

551 用 户 不 在 本 地 。 尝 试 把 消息 发 送 给 <path> 
554 事务 处 理 失 败 


向 电子 邮件 服务 器 发 送 一 则 消息 的 过 程 大 致 如 下 。 本 章 前 面 提 
到 ， 这 个 过 程 被 用 来 从 发 起 的 客户 端 向 本 地 的 电子 邮件 服务 器 发 送 一 
则 消息 ， 然 后 再 从 那 台 本 地 服务 器 向 目的 地 服务 器 或 中 继 路 径 上 的 另 
一 台 服 务 器 转发 该 消息 。 

1. 发 送 端 计算 机 向 相应 的 服务 器 发 出 一 个 HELO 命令 。 发 送 者 
的 域名 作为 一 个 参数 包含 在 其 中 。 

2. 服务 器 发 送 回 响应 代码 250。 

3. 发 送 方 发 出 MAIL FROM: 命 令 。 发 送 消息 的 用 户 的 电子 邮件 地 
址 作为 一 个 参数 包含 在 其 中 。 

4. 服务 器 发 送 回 响应 代码 250。 

5. 发 送 方 发 出 RCPT TO: 命 令 。 消 息 收 件 人 的 电子 邮件 地 址 作为 
一 个 参数 包含 在 其 中 。 

6. 如 果 相 应 的 服务 器 可 以 为 此 收 件 人 接收 邮件 ， 那 么 该 服务 器 将 
发 送 回 响应 代码 250。 否 则 ， 该 服务 器 将 发 送 回 一 个 表示 问题 的 代码 
(比如 响应 代码 550， 表 示 所 需 的 用 户 邮 箱 没 有 被 找到 ) 。 


7. 发 送 方 发 出 DATA 命 令 ， 表 示 它 准备 开始 发 送 电子 邮件 消息 的 
内 容 。 

8. 服务 器 发 出 响应 代码 354， 指 示 发 送 方 开 始 传输 消息 内 容 。 

9. 发 送 方 发 送 消息 数据 ， 并 且 在 一 行 上 以 一 个 句点 (.) 结束 。 

10. 服务 器 发 送 回 响应 代码 250， 表 示 邮 件 已 被 接收 。 

11. 发 送 方 发 出 QUIT 命 令 ， 表 示 传 输 完成 ， 当 前 会 话 应 该 被 关 
闭 。 

12. 服务 器 发 送 代 码 221， 表 示 传 输 通道 将 被 关闭 。 

网 络 采 用 这 个 SMTP 通 信 过 程 ， 将 电子 邮件 消息 传递 给 目的 地 电 
子 邮件 服务 器 上 的 用 户 邮 箱 。 该 消息 然后 一 直 在 用 户 邮 箱 中 等 待 着 ， 
直到 用 户 登 录 进 来 查看 相应 的 邮件 。 根 据 所 用 协议 或 电子 邮件 客户 端 
类 型 的 不 同 ， 要 么 该 消息 被 下 载 到 用 户 计算 机 进行 查看 和 处 理 ， 要 么 
用 户 直 接 在 相应 的 服务 器 上 编辑 和 管理 该 消息 。 


21.5 检索 邮件 


上 一 节 所 描述 的 SMTP 交 付 过 程 ， 其 目的 并 不 是 向 某 名 用 户 交 付 
邮件 ， 而 仅仅 是 向 该 用 户 的 邮箱 交付 邮件 。 用 户 接 下 来 必须 访问 该 邮 
箱 ， 才 能 查看 相应 的 邮件 。 这 个 额外 的 步骤 可 能 会 使 上 述 过 程 复 杂 
化 ， 但 是 它 具 有 下 列 优点 : 

> 服务 器 将 继续 为 用 户 接 收 邮 件 ， 即 使 当 用 户 的 计算 机 并 没有 和 连 
接 到 网 络 的 时 候 ; 

> 电子 邮件 交付 系统 不 受 收 件 人 的 计算 机 或 位 置 的 影响 。 

后 面 这 条 优点 是 许多 电子 邮件 用 户 都 很 熟悉 的 一 个 特性 。 这 一 特 
性 使 得 用 户 能 够 从 多 个 位 置 检 查 电子 邮件 。 从 理论 上 讲 ， 任 何 能 够 访 
问 Internet 而 且 安 装 有 电子 邮件 客户 端 应 用 程序 的 计算 机 ， 都 可 以 被 配 
置 来 检查 用 户 邮 箱 中 的 消息 。 你 可 以 在 家 里 、 办 公 室 或 者 是 宾馆 房间 
里 检查 自己 的 邮件 。 访 问 邮 箱 和 下 载 消息 的 这 个 过 程 ， 需 要 有 一 个 邮 
件 检索 协议 。 在 随后 的 两 个 小 节 中 ， 你 将 学 习 到 有 关 邮 局 协议 

(POP) 和 Internet 消 息 访 问 协议 (IMAP) 的 知识 。 你 还 将 学 习 到 有 关 
webmail 的 内 容 ， 那 是 一 种 比较 新 的 可 选 方案 ， 人 允许 用 户 通 过 普通 的 
Web 浏 览 器 访问 其 邮箱 。 

注意 : 电子 邮件 和 网 络 安全 

实际 上 ， 网 络 安全 结构 (比如 防火 器 ) 有 时 会 阻止 用 户 从 陌生 位 
置 查看 和 发 这 电子 邮件 。 

保留 用 户 邮箱 的 电子 邮件 服务 器 ， 通 单 必 须 同 时 支持 SMTP 服 务 

(用 于 接收 传 入 的 消息 ) 和 一 种 邮件 检索 协议 服务 (用 于 允许 用 户 访 
问 相 应 的 邮箱 ) 。 这 个 过 程 如 图 21.3 所 示 。 这 一 交互 需要 SMTP 服 务 
和 邮件 检索 服务 之 间 的 协调 与 兼容 ， 这 样 数据 才 不 会 在 两 个 服务 同时 
访问 相同 的 邮箱 时 发 生 丢 失 或 破坏 。 


邮箱 


用 户 访 
传 入 的 邮件 问 邮 箱 
(SMTP) (POP 或 IMAP) 


图 21.3 SMTP 服务 应 用 程序 和 邮件 检索 服务 应 用 程序 必须 协调 对 邮箱 
的 访问 


21.5.1 POP3 


邮局 协议 版 本 3 (POP3) 是 一 种 广泛 使 用 的 消息 检索 协议 。POP3 
在 RFC 1939 中 有 描述 ， 随 后 的 RFC 已 经 对 其 进行 了 扩展 和 改进 。 客 户 
端 发 起 一 个 TCP 连 接 ， 到 电子 邮件 服务 器 上 的 POP3 服 务 器 应 用 程序 。 
默认 情况 下 ，POP3 服 务 器 在 TCP 端 口 110 上 倾听 连接 请 求 。 在 相应 的 
连接 被 建立 之 后 ， 客 户 端 应 用 程序 必须 向 电子 邮件 服务 器 发 送 用 户 名 
和 密码 信息 。 如 果 登 录 凭 证 被 接受 ， 那 么 用 户 就 可 以 访问 相应 的 邮箱 
来 下 载 或 删除 消息 了 。 

与 SMTP 客 户 端 相似 ，POP3 客 户 端 使 用 一 连 串 四 字符 命令 与 服务 
器 进行 通信 。 服 务 器 使 用 少量 字母 应 答 进 行 响 应 ， 比 如 +OK (表示 当 
前 命令 已 经 被 执行 ) 和 -ERR (表示 当前 命令 导致 一 个 错误 ) 。 这 些 响 
应 还 可 能 包括 额外 的 参数 。 邮 箱 中 的 每 一 则 消息 均 由 一 个 消息 编号 来 
索引 。 客 户 端 向 服务 器 发 送 一 条 RETR (检索 ) 命令 来 下 载 一 则 消 
息 。DELE 命 令 将 从 服务 器 上 删除 一 条 消息 。 

POP3 客户 端 和 服务 器 之 间 发 送 的 消息 ， 对 于 用 户 来 说 是 不 可 见 
的 。 这 些 命令 作为 对 用 户 在 电子 邮件 客户 端 用 户 界面 内 的 活动 的 响 
应 ， 由 电子 邮件 客户 端 应 用 程序 发 出 。 

POP3 的 一 个 缺点 是 ， 只 能 在 服务 器 上 实现 有 限 的 功能 。 用 户 只 
能 在 邮箱 里 列 出 相应 的 消息 、 删 除 消 息 和 下 载 消 息 。 对 消息 内 容 的 任 
何 操作 都 必须 在 客户 端 进行 。 这 一 限制 会 在 从 服务 器 向 客户 端 下 载 消 
息 时 ， 造 成 延迟 和 增加 网 络 流量 。 于 是 ， 更 新 、 更 强大 的 IMAP 协 议 被 
开发 出 来 ， 以 弥补 其 中 的 一 些 不 足 之 处 。 


21.5.2 IMAP4 


Internet 消 息 访问 协议 版 本 4 (IMAP4) 是 一 种 与 POP3 相 似 的 消息 
多 索 协议 。 不 过 ，IMAP4 提 供 了 几 种 POP3 所 不 具有 的 新 特性 。 有 了 
IMAP4， 你 可 以 浏览 基于 服务 器 的 文件 夹 ， 以 及 不 必 首 先 把 消息 复制 
到 自己 的 本 地 计算 机 上 ， 就 可 移动 、 删 除 和 查看 那些 消息 。IMAP4 还 
允许 你 保存 特定 的 设置 ， 比 如 客户 端 窗口 外 观 或 者 是 服务 器 上 针对 指 
定 搜索 字符 串 的 搜索 消息 。 你 还 可 以 创建 、 删 除 和 重新 命名 服务 器 计 
算 机 上 的 邮箱 。 

绝 大 多 数 最 近 的 电子 邮件 客户 端 都 同时 支持 POP3 和 IMAP4。 尽 管 
目前 POP3 的 用 户 基 础 要 更 广 一 些 ， 但 是 IMAP 的 许多 优点 确保 电子 邮 
件 安装 将 继续 不 断 地 向 IMAP4 协 议 转换 。 


21.6 由 


电子 邮件 客户 端 在 用 户 的 工作 站 上 运行 ， 并 与 某 台 电子 邮件 服务 
器 进行 通信 。 本 章 前 面 讲 到 ， 本 地 工作 站 并 不 与 电子 邮件 消息 的 收 件 
人 直接 建立 一 个 连接 。 相 反 ， 该 工作 站 使 用 电子 邮件 客户 端 向 某 人 台电 
子 邮件 服务 器 发 送 消息 。 该 服务 器 再 把 相应 的 消息 发 送 给 分 配给 收 件 
人 的 电子 邮件 服务 器 。 在 常规 的 电子 邮件 场景 中 ， 将 要 接收 相应 消息 
的 用 户 访问 电子 邮件 服务 器 上 的 个 人 邮箱 ， 然 后 该 消息 被 下 载 到 用 户 
的 工作 站 。 这 个 过 程 中 的 第 一 步 和 最 后 一 步 (向 最 初 那 台 服务 器 发 送 
消息 和 从 接收 服务 器 下 载 消 息 ) 通常 都 由 电子 邮件 客户 端 应 用 程序 完 
成 。 

电子 邮件 客户 端 提 供 以 下 3 个 功能 : 

> 使 用 SMTP， 向 一 台 外 发 电子 邮件 服务 器 发 送出 站 消息 ; 

> 使 用 POP3 或 IMAP， 从 一 台电 子 邮 件 服务 器 收集 传 入 的 电子 邮 
(HAS; 

充当 阅读 、 管 理 和 撰写 邮件 消息 的 用 户 界 面 。 

电子 邮件 客户 端 必须 能 够 同时 充当 SMTP 客 户 端 和 邮件 检索 (POP 
或 IMAP) 客户 端 。 

本 章 前 面 所 讨论 的 电子 邮件 协议 为 电子 邮件 通信 提供 了 一 个 清晰 
的 路 线 图 ， 而 且 由 于 那个 缘故 ， 电 子 邮 件 客户 端 也 都 相似 。 具 体 如 何 
配置 某 一 电子 邮件 客户 端的 细节 可 能 各 不 相同 ， 但 是 如 果 你 熟悉 本 章 
所 描述 的 那些 过 程 ， 那 么 就 会 很 容易 搞 清 楚 如 何 让 它 工 作 (用 户 需 要 
知道 的 是 ， 与 认证 和 加 密 相 关 的 安全 特性 在 网 络 层 之 外 还 提供 了 一 个 
额外 的 复杂 层 。 有 关 如 何 安 全 设 邮箱 账户 的 信息 ， 请 咨询 你 的 ISP 或 电 
子 邮 件 管 理 员 ) 。 与 其 他 的 网 络 客户 端 应 用 程序 相似 ， 电 子 邮件 客户 
端 也 通过 相应 的 协议 栈 与 网 络 进行 通信 。 带 有 电子 邮件 客户 端的 计算 


机 必须 有 一 个 起 作用 的 TCP/IP 实 现 ， 而 且 它 必须 被 配置 得 能 够 使 该 电 
子 邮 件 应 用 程序 通过 TCP/IP 到 达 相 应 的 网 络 。 

在 确定 你 的 计算 机 正 作 为 某 个 TCP/IP 网 络 上 的 客户 端 适当 地 运行 
着 之 后 ， 你 需要 从 你 的 某 位 网 络 职员 那里 获得 另外 一 些 参 数 ， 以 便 在 
你 的 系统 上 配置 一 个 电子 邮件 客户 端 。 如 果 你 是 一 名 家 庭 用 户 ， 请 通 
过 你 的 ISP 获 得 这 些 信息 。 如 果 你 是 一 名 公司 用 户 ， 请 从 你 的 网 络 管理 
员 那 里 获得 这 些 信息 。 

你 需要 知道 以 下 信息 : 

> 电子 邮件 服务 器 的 完全 限定 域名 ， 以 用 来 向 外 发 送 邮件 。 这 个 
服务 器 通常 接收 主机 名 SMTP， 后 面 跟着 相应 的 域名 (例如 ， 
SMTP.rosbud.org) ; 

> POP 或 IMAP 服 务 器 完整 的 完全 限定 主机 名 ; 

POP 或 IMAP 服 务 器 上 一 个 电子 邮件 用 户 账户 的 用 户 名 和 密 
Eo 

配置 一 个 电子 邮件 客户 端的 任务 ， 很 大 程度 上 就 是 获得 这 些 参数 
并 把 它们 输入 该 电子 邮件 客户 端 程序 而 已 。 

对 于 绝 大 多 数 操作 系统 来 说 ， 电 子 邮件 客户 端 程序 已 经 逐渐 融入 
其 标准 的 桌面 环境 。Windows 系 统 用 户 通过 Windows Mail 或 Outlook 邮 
件 客户 端 访 问 邮 件 ; Apple Mail 是 Mac 系 统 上 的 标准 ; Linux 系 统 通常 
带 有 一 种 流行 的 开源 邮件 客户 端 ， 比 如 Evolution 或 Mozilla 
Thunderbird。 

电子 邮件 客户 端 常常 与 其 他 相关 工具 融 为 一 体 ， 提 供 日 历 、 日 程 
安排 和 通信 短 功 能 。 邮 件 客户 端 还 可 以 解释 多 种 文件 扩展 名 

(.doc、.txt、.pdf、.jpg) 和 加 载 适 当 的 查看 程序 ， 以 读 取 发 来 的 附 
件 。 如 果 使 用 适当 ， 这 种 与 其 他 应 用 程序 的 集成 非常 方便 ， 但 是 它 也 
已 经 造成 了 完全 新 一 代 的 安 病 毒 和 蠕虫 (主要 侵袭 Windows 系 统 ) 通 
过 电子 邮件 附件 传递 。 一 种 典型 的 宏 病 毒 可 能 会 访问 用 户 的 通信 短 ， 


以 获得 新 的 电子 邮件 地 址 ， 然 后 向 该 通信 筹 中 的 其 他 用 户 自动 发 送 电 
子 邮件 〈 见 图 21.4) 。 最 近 的 Windows 系 统 使 用 的 额外 的 防范 措施 来 
复制 这 种 攻击 ， 但 是 通过 电子 邮件 传播 的 蠕虫 和 病毒 在 Window 95 和 
Windows XP 时 代 却 相当 常见 。 


病毒 副本 被 发 
送 到 新 的 地 址 


billg@hello.com 
dollyp @iou.org 


的 邮件 信息 


病毒 程序 
SFP 


图 21.4 电子 邮件 病毒 


注意 : 留意 你 的 点 击 

虽然 随 着 公众 意识 和 杀毒 技术 有 效 性 的 提高 ， 通 过 电子 邮件 传播 
病毒 的 问题 在 最 近 几 年 已 经 得 到 了 控制 ， 但 是 这 些 病毒 在 过 去 造成 了 
相当 大 的 破坏 。 这 里 的 要 点 是 ， 接 收 附件 并 单 击 通过 电子 邮件 递送 的 
链接 ， 会 对 你 的 系统 造成 风险 。 查 阅 你 的 操作 系统 厂商 文件 ， 找 到 有 
关 如 何 配置 系统 以 最 小 化 该 风险 的 建议 。 


21.7 webmail 


万 维 网 的 兴起 ， 已 经 导致 一 个 完全 新 的 、 围 绕 Web 技 术 设 计 的 电 
子 邮件 分 类 。 这 些 基 于 Web (或 webmail) 的 电子 邮件 工具 ， 并 不 需要 
全 功能 的 电子 邮件 客户 端 应 用 程序 。 用 户 直接 使 用 Internet 浏 览 器 访问 
相应 的 网 站 ， 然 后 通过 一 个 Web 界 面 访问 电子 邮件 。 因 此 ， 用 户 的 电 
子 邮 件 可 以 从 任何 能 够 连接 到 Internet 的 计算 机 上 访问 。Hotmail、 
Yahoo! Mail 和 Google 的 Gmail 都 是 webmail 服 务 的 实例 。 这 些 服 务 通常 
都 是 免费 的 ， 或 者 几乎 是 免费 的 ， 因 为 提供 商 通 过 广告 就 可 以 获得 足 
以 支持 整个 基础 结构 的 款项 。 

webmail 既 通 用 ， 又 易于 使 用 。 对 于 习惯 使 用 Web， 又 不 想必 须 
配置 和 排 错 某 一 电子 邮件 程序 的 非 技 术 性 的 家 庭 用 户 来 说 ，webmail 
是 一 个 很 好 的 选择 。 现 在 ， 有 些 公司 在 某 些 情况 下 使 用 webmail， 因 为 
其 防火 墙 允许 HTTP 流 量 和 阻止 SMTP。webmail 可 能 看 起 来 不 安全 。 
Internet 上 的 任何 人 都 知道 如 何 到 达 Yahoo! 站 点 ， 而 且 可 能 可 以 弄 清楚 
如 何 到 达 Yahoo! 邮 件 站 点 。 但 是 要 记 住 ， 传 统 的 电子 邮件 也 没 那么 安 
人 全， 除非 你 采取 措施 来 保护 它 。 任 何 拥有 你 的 用 户 名 和 密码 的 人 ， 都 
可 能 查看 你 的 邮件 。 主 流 的 webmail 站 点 均 提供 安全 登录 和 其 他 安全 
着 施 。 如 果 你 正 考虑 一 种 小 规模 〈 本 地 的 ) webmail 服 务 ， 最 好 了 解 一 
下 该 系统 的 安全 性 。 

对 webmail 的 最 大 抱怨 ， 通 常 是 它 的 性 能 。 由 于 该 邮件 系统 并 不 实 
际 存在 于 客户 端 计 算 机 ( 它 不 同 于 Web 浏览 器 ) ， 所 有 撰写 、 打 开 和 
移动 消息 的 琐事 都 发 生 网 络 连 接 的 瓶颈 中 。 相 反 ， 传 统 的 电子 邮件 客 
户 端 都 在 会 话 开始 时 下 载 所 有 新 的 消息 ， 而 且 所 有 与 撰写 和 存储 消息 
相关 的 动作 都 发 生 在 客户 端 上 。 在 不 考虑 性 能 损失 的 情况 下 ， 对 于 许 
多 Internet 用 户 来 说 ， webmail 的 极度 便利 性 可 以 确保 它 将 仍然 是 一 个 
重要 的 选择 。 


注意 : webmail 仍 然 是 电子 邮件 

webmail 的 主要 目的 是 为 用 户 提供 一 种 收发 消息 的 手段 。 尽 管 
webmail 可 能 看 起 来 像 是 一 个 全 新 的 概念 ， 而 其 实 它 与 图 21.1 中 所 描 
述 的 普通 电子 邮件 系统 没有 多 大 差别 。 它 们 之 间 的 差别 是 ， 在 
webmail 中 ， 用 来 读 取 和 发 送 电 子 邮 件 的 软件 驻 留 在 电子 邮件 服务 器 
上 ， 而 且 收 件 人 通过 web 界 面 访问 该 软件 。 在 后 台 ，webmail 系 统 仍然 
使 用 SMTP 在 网 络 上 传输 电子 邮件 消息 。 


21.8 垃圾 邮件 


在 电子 邮件 技术 领域 ,没有 什么 最 近 的 发 展 比 垃圾 邮件 的 兴起 更 
具 影 响 力 了 。 垃 圾 邮件 (spam) 是 乱糟糟 地 堆 满 上 百 万 Internet 用 户 邮 
箱 的 大 容量 电子 邮件 消息 的 绰号 。 那 些 消息 大 肆 宣 传 银 行 贷款 、 饮 食 
辅助 、 慈 善 骗 局 以 及 各 种 各 样 围绕 一 时 快感 这 个 主题 的 产品 和 服务 。 
从 技术 上 讲 ， 垃 圾 邮件 就 是 电子 邮件 ， 那 也 正 是 它 得 从 的 原因 。 路 由 
某 条 消息 的 电子 邮件 服务 器 ， 并 不 知道 该 消息 是 由 一 个 可 异 的 自动 化 
模式 ， 还 是 收 件 人 心爱 的 某 个 人 生成 的 。 

盏 运 的 是 ， 接 收 者 对 于 识别 和 消除 垃圾 邮件 有 一 些 选择 权 。 有 些 
用 来 对 抗 垃圾 邮件 的 技术 都 基于 TCP/IP 原 理 ， 因 此 与 本 书 有 关 。 不 
过 ， 正 如 你 将 看 到 的 那样 ， 垃 圾 邮件 的 制造 者 都 善于 找到 绕 过 那些 对 
抗 手段 的 方法 ， 因 此 没有 永久 的 解决 方案 。 比 较 新 的 技术 把 精力 主要 
集中 在 分 析 电 子 邮 件 消息 的 文本 上 。 

在 垃圾 邮件 产业 刚刚 启动 时 ， 各 个 收 件 人 就 开始 认识 到 ， 许 多 垃 
圾 邮件 都 来 和 目 少 数 特 定 的 电子 邮件 地 址 。 垃 圾 邮件 反对 者 们 已 经 积累 
了 大 量 的 、 被 认为 与 垃圾 邮件 相关 的 地 址 数据 列表 。 防 火 墙 、 邮 件 服 
务 器 或 者 是 客户 端 程序 都 可 以 扫描 发 来 的 消息 ， 找 出 黑 名 单 中 的 地 
址 。 

不 过 ， 垃 圾 邮件 制造 者 们 经 常 更 换 IP 地 址 和 域名 ， 以 避 开 黑 名 
单 。 黑 名 单 被 认为 是 一 种 很 好 的 第 一 道 防 线 ， 但 是 它 并 不 足以 完全 控 
制 垃圾 邮件 。 事 实 上 ， 传 统 的 黑 名 单 正 变 得 越 来 越 不 相干 ， 因 为 垃圾 
邮件 制造 者 们 已 经 完善 技术 来 绕 过 它们 。 一 种 策略 是 ， 利 用 安全 漏洞 
较 大 的 公司 的 邮件 服务 器 来 转发 垃圾 邮件 消息 。SMTP 邮件 服务 
是 等 待 来 自 客户 端的 消息 ， 然 后 转发 它 。 当 然 ， 这 里 的 观念 是 ， 只 
邮件 服务 器 的 所 有 者 才 会 使 用 它 转发 消息 ， 但 是 ， 没 有 适当 锁 住 的 邮 
件 服务 器 ， 可 以 被 任何 人 使 用 ， 其 中 包括 位 于 另 一 个 位 置 的 垃圾 邮件 


制造 者 (MEA 21.5) 。 有 时 ， 合 法 的 公司 和 完全 无 率 的 个 人 会 发 现 他 
们 自己 出 现在 了 电子 邮件 黑 名 单 上 ， 那 是 因为 垃圾 邮件 制造 者 正 利用 
他 们 的 服务 器 作为 中 继 站 。 


3 Inc. 
mm 


M 


节省 
5555 


让 所 有 
ARE 
- 惊 


i 


图 21.5 垃圾 邮件 制造 者 们 有 时 可 以 利用 其 他 人 未 经 保护 和 没有 疑心 的 
电子 邮件 服务 器 发 送 其 消息 


垃圾 邮件 反对 者 们 已 经 通过 他 们 自身 的 补救 办 法 来 回击 这 种 策 
略 。 通 过 把 邮件 服务 器 放置 在 公司 防火 器 内 侧 ， 并 在 防火 墙 处 阻止 发 
来 的 SMTP jak (ULE 21.6) ， 公 司 即 可 保护 自己 不 会 成 为 垃圾 邮件 
中 继 站 。 如 图 21.6 所 示 ， 来 自 防 火器 内 侧 的 邮件 客户 端 ， 可 以 使 用 相 
应 的 邮件 服务 器 转发 消息 ， 但 是 位 于 外 侧 的 客户 端 却 无 法 到 达 该 邮件 
服务 器 。 这 一 技术 对 于 控制 垃圾 邮件 来 说 十 分 有 用 。 不 过 ， 它 也 会 造 
成 一 些 局 限 性 。 对 于 一 名 来 自 这 种 本 地 网 络 的 用 户 ， 在 他 带 着 笔记 本 
电脑 旅行 或 从 某 个 外 部 位 置 检 查 邮件 时 ， 就 可 能 会 发 现 ， 如 果 不 重 新 
配置 电子 邮件 客户 端 以 指向 另 一 台 SMTP 服务 器 ， 便 将 无 法 发 送 消息 
(在 第 11 章 中 讲 到 ， 通 过 VPN 连 接 ， 笔 记 本 用 户 可 以 直接 从 远程 位 置 
连接 到 本 地 网 络 ， 从 而 避免 了 该 问题 ) 。 一 种 逐渐 流行 起 来 而 且 更 为 
灵活 的 解决 方案 是 ， 让 SMTP 服 务 器 位 于 防火 墙 外 侧 ， 但 是 需要 通过 


电子 邮件 客户 端 来 进行 身份 验证 。 当 代 大 多 数 电子 邮件 客户 端 应 用 程 
序 都 支持 这 种 验证 设置 ， 以 用 于 向 外 发 送 邮件 。 


图 21.6 在 防火 器 之 后 放置 SMTP 服务 器 以 及 阻止 发 来 的 SMTP 请 求 
可 ， 以 保护 服务 器 免 遭 垃圾 邮件 制造 者 的 滥用 


有 些 垃圾 邮件 制造 者 甚至 问 入 无 率 用 户 的 计算 机 ， 然 后 配置 这 些 
系统 发 送 垃圾 邮件 。 这 些 被 感染 了 的 计算 机 常常 会 在 它们 被 察觉 之 
前 ， 发 送 成 干 上 万 条 消息 。 一 些 网 络 管理 员 已 经 通过 使 用 白 名 单 (一 
个 允许 向 所 在 域 发 送 邮件 的 地 址 列表 ) 来 进行 对 抗 。 这 种 技术 可 以 起 
作用 ， 但 是 它 对 许多 组 织 来 说 ， 限 制 的 程度 过 高 了 。 

另 一 种 防御 手段 被 称 为 多 名 单 。 灰 名 单 系统 临时 拒绝 来 自 某 一 未 
知 源 的 消息 。 如 果 相应 的 消息 是 合法 的 ， 那 么 发 送 服务 器 会 再 次 传输 
该 消息 ; 然而 ， 垃 圾 邮件 服务 器 通常 都 是 自动 化 的 工具 ， 它 们 没有 被 
设计 成 在 交付 失败 时 再 次 进行 传输 。 如 果 服务 器 没有 再 次 发 送 ， 那 么 
相应 的 消息 就 被 假定 为 垃圾 邮件 。 等 到 垃圾 邮件 服务 器 确实 找到 机 会 
再 次 发 送 时 ，Internet 的 黑 名 单 积累 服务 很 可 能 融 已 经 收集 到 了 那个 发 
适 垃圾 邮件 的 地 址 。 因 此 ， 灰 名 单 积累 单单 和 黑 名 单 积累 一 起 使 用 。 

许多 对 抗 垃 圾 邮件 的 工具 ， 依 赖 于 对 消息 内 容 的 分 析 。 有 些 术语 
和 短语 更 是 经 常 地 出 现在 垃圾 邮件 报头 和 消息 中 。 一 些 垃圾 邮件 过 滤 


SES NI AS SA, NEE 
其 他 与 免费 解剖 描述 相关 的 术语 。 更 加 完善 的 方法 〈 比 如 Bayesian 垃 
圾 邮件 过 滤 技术 ) 采用 概率 统计 技术 来 分 析 消 息 内 使 用 的 词语 ， 并 给 
出 一 个 得 分 ， 表 明 该 消息 为 垃圾 邮件 的 可 能 性 。 一 些 垃圾 邮件 消息 怪 
异 的 词语 选择 和 含义 模糊 的 语言 ， 反 映 出 垃圾 邮件 制造 者 希望 能 够 溜 
过 这 些 针对 内 容 概率 的 过 滤器 网 络 的 愿望 。 

这 些 过 滤 工具 中 的 一 部 分 有 产生 错误 肯定 的 倾向 ， 在 其 中 ， 合 法 
消息 由 于 表现 出 像 垃圾 邮件 的 样子 而 被 封存 。 最 好 的 过 滤 技术 提供 一 
种 方法 来 < 训练 "相应 的 过 滤器 ， 通 过 向 它 展示 所 有 被 误解 的 正确 事 
件 ， 使 其 能 够 重新 计算 相应 的 概率 ， 而 且 不 会 再 犯 相同 的 错误 。 


21.9 小 结 


本 章 描述 了 在 电子 邮件 消息 离开 你 的 计算 机 之 后 所 发 生 的 事情 。 
你 看 到 了 电子 邮件 交付 过 程 幕后 的 细节 ， 还 学 习 了 有 关 SMTP 以 及 诸 
如 POP3、IMAP4 和 webmail 之 类 邮件 检索 技术 的 知识 。 本 章 还 讨论 了 
电子 邮件 客户 端 应 用 程序 的 角色 ， 并 且 描 述 了 正在 进行 的 控制 和 遏制 
垃圾 邮件 消息 的 努力 。 
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问 : 我 可 以 发 送 消息 ， 但 是 无 法 连接 到 邮件 服务 器 下 载 新 的 消 
息 。 我 应 该 检查 些 什么 ? 

答 : 你 的 电子 邮件 客户 端 应 用 程序 使 用 SMTP 发 送 消息 ， 和 一 种 
邮件 检索 协议 (可 能 是 POP 或 IMAP) 来 检查 服务 器 上 的 发 来 消息 。 可 
能 你 的 邮件 检索 协议 的 传输 有 问题 。 许 多 网 络 为 发 来 的 消息 和 外 发 的 
消息 使 用 不 同 的 服务 器 。 你 的 POP 或 IMAP 服 务 器 可 能 宕 机 了 。 查 看 你 
的 电子 邮件 客户 端 应 用 程序 中 的 配置 对 话 框 ， 那 里 有 你 的 POP 或 IMAP 
服务 器 的 名 称 。 尝 试 ping 一 下 该 服务 器 ， 看 它 是 否 响应 。 

问 : 一 家 土耳其 的 会 计 师 事务 所 从 我 的 公司 订购 了 14 台 计算 机 。 
他 们 坚持 要 求 那些 计算 机 所 包括 的 电子 邮件 应 用 程序 必须 支持 
MIME。 为 什么 他 们 如 此 固执 ? 

E: 电子 邮件 最 初 被 设计 支持 ASCII 字 符 集 ， 那 是 为 使 用 英语 书 
写 的 用 户 而 开发 的 一 个 字符 集 。 其 他 语言 中 使 用 的 许多 字符 都 不 在 
ASCII 字 符 集 中 。MIME 扩 展 了 该 字符 集 ， 使 其 包括 其 他 非 ASCII 字 
符 。 


21.11 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


21.11.1 问题 

.什么 是 MIMIE， 以 及 它 的 用 途 是 什么 ? 

. 什么 协议 用 来 发 送 电 子 邮件 消息 ? 

. 什么 协议 用 来 从 用 户 的 邮箱 中 检索 电子 邮件 消息 ? 
. 用户 对 webmail 最 大 的 抱怨 是 什么 ? 

. Webmail 的 优点 是 什么 ? 
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21.11.2 练习 


1. 如 果 你 有 一 个 mmternet 账 户 ， 请 打开 你 用 来 发 送 和 查看 电子 邮 
件 的 电子 邮件 客户 端 。 设 法 弄 清 楚 SMTP 服 务 器 (用 于 发 送 邮 件 ) 和 
POP 或 IMAP 服 务 器 (用 于 接收 邮件 ) 是 在 哪儿 配置 的 。 

2. 如 果 你 真 的 觉得 自己 喜欢 冒险 ， 那 么 请 问 一 个 好 朋友 ， 你 是 否 
可 以 在 该 朋友 的 计算 机 上 配置 一 个 电子 邮件 客户 端 来 检查 你 的 电子 邮 
件 账 户 。 有 些 电子 邮件 客户 端 支持 多 个 电子 邮件 账户 。 或 者 ， 你 可 以 
配置 一 个 你 的 朋友 目前 不 在 使 用 的 内 置式 电子 邮件 客户 端 。 

注意 : SMTP 保 护 

你 可 能 会 发 现 ， 你 可 以 从 你 朋友 的 ISP 网 络 检查 自己 的 邮件 ， 但 是 
不 能 从 其 网 络 向 你 自己 的 ISP 网 络 上 的 SMTP 服 务 器 发 送 邮 件 。 许 多 ISP 
并 不 允许 外 部 的 电子 邮件 消息 试探 它们 的 SMTP 服 务 器 。 
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复习 下 列 关 键 术语 : 

> 黑 名 单 : 一 个 不 允许 向 当前 域 转发 邮件 消息 的 服务 器 列表 。 

> 电子 邮件 主体 : 电子 邮件 消息 中 包含 消息 文本 的 部 分 。 

> 电子 邮件 客户 端 : 一 种 客户 端 电 子 邮 件 应 用 程序 ， 负 责 发 送 邮 
件 、 检 索 邮 件 和 管理 用 户 用 来 与 邮件 系统 交互 的 界面 。 

电子 邮件 报头 : 电子 邮件 消息 的 开头 部 分 ， 由 信息 字段 和 相关 
的 值 组 成 。 

> 灰 名 单 : 通过 拒绝 首次 递送 和 等 着 查看 相应 的 服务 器 是 否 再 次 
发 送 同 一 消息 来 探测 垃圾 邮件 服务 器 的 系统 。 

> Internet 消 息 访问 协议 (IMAP) : 一 种 增强 型 邮件 检索 协 
议 ， 提 供 POP 所 没有 的 几 种 特性 。 例 如 ， 你 不 必 首 先 从 服务 器 上 下 载 
邮件 消息 ， 即 可 访问 那些 消息 。 

> 邮箱 : 电子 邮件 服务 器 上 的 一 个 位 置 ， 为 用 户 存 储 发 来 的 消 
Bo 

> 多 用 途 Internet 邮 件 扩 展 (MIME) : 一 种 扩展 Internet 邮 件 性 
能 的 电子 邮件 格式 。 

> 邮局 协议 (POP) : 一 种 在 Internet 上 使 用 的 流行 的 邮件 检索 
协议 。POP 使 得 用 户 能 够 登录 到 电子 邮件 服务 器 上 ， 并 下 载 或 删除 等 
待 中 的 消息 。 

> 简单 邮件 传输 协议 (SMTP) : 一 种 用 来 在 TCP/IP 网 络 上 发 送 
邮件 的 协议 。 

> webmail: 一 种 允许 用 户 通过 普通 的 web 浏览 器 访问 电子 邮件 
消息 的 系统 。 

> BSS: 允许 向 所 在 域 转发 邮件 消息 的 一 个 地 址 列表 。 
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本 章 介绍 如 下 内 容 : 

> 流 协 议 ; 

> 多 媒体 链接 ; 

> 播客 (Podcasting) ; 

” VOIP。 

Internet 并 不 是 为 播放 音乐 和 收看 过 去 的 电视 剧 而 创建 的 。 在 
Internet 流 的 时 代 ， 必 须要 引入 新 的 理念 和 新 的 协议 。 本 章 将 讲解 用 于 
Internet 的 多 媒体 技术 。 

学 完 本 章 后 ， 你 可 以 : 

> 描述 RTP 及 其 辅助 协议 ，; 

> 讨论 传输 层 可 选 的 SCTP 和 DCCP，; 

> 描述 某 个 多 媒体 文件 是 如 何 从 一 个 Web 链接 播放 的 5 

> 解释 什么 是 “播客 ”*"， 以 及 它 是 如 何 工作 的 ; 

> 描述 一 些 重 要 的 VoIP 协 议 。 


22.1 流 问 题 


现在 的 Internet 用 户 拥 有 全 部 的 网 络 连接 、 传 输 介 质 、 视 频 监 视 器 
和 PC 了 喇 路 ， 那 么 下 一 个 问题 是 ，Internet 是 否 会 使 得 电视 频道 、 电 话 
机 和 广播 站 都 被 废弃 掉 呢 ? Internet 能 够 支持 语音 通信 吗 ? 提供 者 能 够 
按 需 (乃至 实时 ) 地 把 多 媒体 程序 设计 流向 用 户 吗 ? 

专家 和 企业 家 们 已 经 谈论 一 种 电视 /计算 机 组 合 系统 好 几 年 了 ， 但 
是 早期 的 型 号 总 是 未 能 达到 预期 目标 。 一 部 分 原因 是 Internet 带宽 的 
不 足 ， 但 也 因为 家 庭 用 的 计算 机 硬件 没有 完全 达到 相应 的 标准 。 

现在 ， 只 要 用 户 愿 意 负担 其 费用 ， 那 种 电视 /计算 机 盒子 (box) 
已 经 是 一 种 成 为 一 种 现实 ， 而 且 Internet 电 话 服务 也 正 变 得 十 分 普遍 。 
像 Hulu 和 YouTube 这 样 的 在 线 服务 为 用 户 提 供 了 无 尽 的 播放 列表 ， 通 
过 这 些 播放 列表 ， 用 户 可 以 收看 电影 、 电 视 节 目 和 家 庭 视频 ， 而 
Facebook 页 面 以 及 其 他 一 些 普通 的 网 站 甚至 提供 方便 的 链接 ， 指 向 网 
站 中 的 音频 和 视频 。 没 有 硬件 和 Internet 基础 设施 方面 的 进步 ， 这 些 
发 展 都 不 会 发 生 ， 但 是 按 需 的 多 媒体 新 世界 还 需要 TCP/IP 协 议 系 统 得 
到 一 些 增强 。 

多 媒体 流 为 协议 系统 提出 了 几 个 问题 ， 但 是 其 中 最 重要 的 问题 可 
能 是 服务 质量 (QoS) 。Internet 是 为 传输 文件 和 有 限 的 消息 而 设计 
的 ， 而 不 是 用 于 交互 式 或 连续 服务 的 。 数 据 报 根据 路 由 器 所 做 出 的 决 
定 ， 沿 着 它们 自己 的 路 径 传输 ， 而 且 无 法 保证 它们 会 以 一 种 统一 的 、 
连续 的 流 形式 到 达 。 流 需要 高 性 能 ， 而 且 性 能 要 稳定 和 连续 到 足以 使 
得 音 视频 给 人 感觉 比较 自然 。 

为 了 说 明 这 个 问题 ， 请 考虑 那 传 输 层 中 那 两 种 主要 的 协议 。UDP 
协议 比较 快速 ， 但 是 它 不 够 灵活 也 不 可 靠 。 相 反 ，TCP 协 议 比较 可 
靠 ， 但 是 这 种 可 靠 性 需要 付出 性 能 的 代价 。TCP 的 可 靠 性 是 通过 繁琐 


的 验证 和 重 传 而 获得 的 ， 这 增加 了 不 确定 性 ， 而 且 妨 碍 了 连续 传输 的 
概念 。 

TCP/PP 协 议 往 中 添加 了 一 些 新 成 员 ， 用 来 处 理 与 流 式 交 付 所 相关 
的 问题 。 你 将 在 本 章 中 学 习 到 实时 传输 协议 (Real-time Transport 
Protocol, RTP) 和 其 他 一 些 流 协 议 。 

需要 重点 注意 的 一 件 事情 是 ， 流 问题 与 几 种 不 同 的 任务 有 关 。 你 
可 以 播放 流 音 频 〈 例 如 ， FM 无 线 电 广播 或 者 是 VoIP 电话 呼叫 ) 、 视 
频 (例如 ， 实 时 webcast 或 者 是 电影 点 播 ) ， 力 至 图 形 动画 。 

当然 ， 另 一 种 传输 多 媒体 内 容 的 方法 是 ， 直 接 把 它 保存 到 一 个 文 
件 里 ， 然 后 通过 电子 邮件 、Web 链 接 、RSS feed 或 者 是 某 一 音乐 共享 
应 用 程序 来 传输 该 文件 。 本 章 还 将 讲解 多 媒体 链接 及 其 工作 方式 ， 但 
是 这 些 技术 与 其 他 任何 文件 传输 情况 都 没有 多 大 差别 ， 因 此 不 会 对 
TCP/IP 协 议 系 统 造成 相同 的 难题 。 本 章 主 要 讲解 与 流 相关 的 问题 。 


22.2 多 媒体 环境 


多 媒体 交付 的 问题 并 与 仅仅 与 网 络 协议 相关 。 服 务 器 和 客户 端 应 
用 程序 必须 能 够 传输 大 量 的 信息 流 ， 并 能 捕获 多 媒体 。 这 些 信息 的 大 
多 数 数据 都 是 位 于 网 络 连接 中 的 载荷 内 ， 因 此 并 与 直接 与 TCP/IP 网 络 
相关 。 

到 进来 ，Internet 上 的 大 多 数 视频 都 是 基于 Adobe 的 Flash 视频 
格式 以 及 相关 技术 。Apple 的 QuickTime 和 Microsoft 的 Windows Media 
Services 也 提供 了 用 于 流传 输 的 生态 系统 ， 其 中 包含 了 服务 器 端的 应 用 
程序 、 客 户 端的 媒体 播放 器 和 文件 格式 。Microsoft 的 Silverlight 框 架 
而 为 了 全 面 取代 Flash 提 供 的 富 Web 开 发 环境 而 出 现 的 。 在 第 19 章 中 讲 
到 ，HTML5 规 沁 对 流传 输 提供 了 内 置 的 支持 ， 从 而 宣判 了 类 似 于 Flash 
这 样 的 框架 的 死刑 。HTML5 提 供 了 对 大 量 多 媒体 协议 和 格式 的 直接 访 
问 ， 其 中 包括 本 章 将 要 讲 到 的 RTP 协 议 簇 。 
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22.3 RTP 


针对 及 时 、 可 靠 的 交付 问题 ， 已 经 出 现 了 几 种 解决 方案 ， 但 是 对 
于 Internet 流 这 一 难题 ， 最 重要 的 解决 方案 可 能 就 是 实时 传输 协议 
(RTP) 。RTP 为 在 TCP/IP 上 传输 音 视 频 流 定义 了 一 种 包 格 式 和 一 种 
标准 的 方法 。RTP 的 名 称 预示 着 它 是 一 种 传输 协议 ， 但 是 事实 上 要 稍 
微 复杂 一 些 。RTP 并 不 替代 原 有 的 传输 协议 ， 相 反 ， 它 构建 在 UDP 之 
上 (9122.1) ， 并 且 使 用 UDP 端口 以 到 达 Internet。 


流传 输 
应 用 程序 


UD 


H 
网 际 层 


网 络 
访问 层 


图 22.1 RTP 利 用 UDP 来 提供 网 络 流传 输 


考虑 到 与 UDP 传输 相关 的 可 靠 性 问题 ， 你 可 能 正 觉得 奇怪 ，RIP 
是 如 何 侥 乎 成功 使 用 UDP 的 呢 。 在 第 6 章 讲 到 ， 开 发 人 员 可 以 编写 他 们 
自己 的 可 靠 性 机 制 ， 并 用 于 UDP。 就 RTP 来 说 ， 有 一 种 称 为 实时 控制 
协议 (Real-Time Control Protocol, RTCP) 的 伴随 协议 ， 为 RTP 会 话 监 
视 服务 质量 。 这 人 允许 应 用 程序 对 流 进 行 调节 ， 即 通过 改变 流速 率 或 者 
可 能 切换 至 一 种 较 低 资源 密集 型 格式 或 图 形 分 辨 率 。 这 种 方法 并 没有 
完全 消除 这 里 的 问题 ， 但 是 它 确实 为 监视 数据 包 的 流动 提供 了 额外 的 
选项 。 

RTP 最 初 是 在 RFC 1889 中 描述 的 ， 后 者 后 来 已 经 被 RFC 3550 取 代 
了 。RIP 报 头 如 图 22.2 所 示 。 该 报头 中 包含 如 下 字段 。 


比特 位 置 :0 16 31 
Hen 


同步 源 标 识 符 
贡献 源 (CSRC) 标识 符 


图 22.2 RTP 报 头 格式 


> AR: 示意 当前 数据 包 是 否 包含 一 个 或 更 多 填充 性 八 位 字 节 。 

> 扩展 : 示意 报头 扩展 的 存在 。 

> CSRC 计 数 : 固定 报头 之 后 的 CSRC 标 识 符 数 。 

> 标记 符 : 标记 帧 边界 以 及 数据 包 流 中 其 他 重要 的 点 。 

> RPE: 载荷 的 格式 。 

> 序列 号 : 一 个 代表 当前 会 话 中 位 置 的 数字 ， 每 个 数据 包 递 增 
1。 这 个 参数 可 以 被 用 来 检测 丢失 的 包 。 

> BYR: 载荷 中 第 一 个 八 位 字 节 的 采样 时 刻 。 

> SSRC: 识别 一 个 同步 源 。 

> CSRC: 为 数据 包 载 和 荷 识别 贡献 源 。 

一 个 可 选择 的 RTP 扩 展 报头 ， 人 允许 不 同 的 应 用 程序 开发 人 员 进 行 
修改 试验 ， 以 改进 性 能 和 服务 质量 。 一 些 厂商 已 经 开发 出 他 们 自己 的 
RTP 版 本 ， 它 们 有 着 各 不 相同 的 兼容 度 。 

使 用 RTP (或 是 其 他 任何 流 协 议 ) 的 音频 应 用 程序 ， 必 须 提 供 某 
种 形式 的 缓冲 ， 以 确保 稳定 的 音频 或 视频 输出 流 。 缓 冲 区 是 用 来 在 数 
据 被 接收 时 临时 存储 它们 的 一 块 内 存 。 缓 冲 使 得 应 用 程序 能 够 以 一 个 
稳定 的 速率 来 处 理 输入 ， 即 使 其 到 达 的 速率 可 能 不 同 。 只 要 缓冲 器 没 
有 完全 空 或 者 是 完全 满 ， 接 收 数据 的 应 用 程序 即 可 恒 速 处 理 输入 。 

RT 协议 簇 中 还 提供 有 另 一 种 协议 ， 称 为 实时 流传 输 协 议 (Real- 
Time Streaming Protocol, RTSP) 。RTSP 发 送 命令 ， 人 允许 远程 用 户 控 


制 流 。 你 可 以 把 RTSP 看 做 类 似 电视 遥控 器 之 类 的 东西 。RISP HAS 
与 实际 的 流传 输 ， 但 是 它 允 许 用 户 向 服务 器 应 用 程序 发 送 像 暂停 、 播 
放 和 录制 那样 的 命令 。 

一 个 典型 的 流传 输 场 景 如 图 22.3 所 示 。 在 这 里 ， 语 音 输入 通过 一 

音频 接口 进行 接收 ， 然 后 传输 给 某 个 计算 机 应 用 程序 ， 在 那里 ， 它 

roo 流传 输 软 件 把 流 分 为 离散 的 数据 包 ， 通 过 
RIP 和 TCP/IP 协 议 栈 ， 向 某 个 流 客 户 端 传输 ， 数 据 在 那里 被 接收 进 一 
个 缓冲 区 ， 然 后 被 某 个 音乐 播放 器 应 用 程序 连续 地 从 缓冲 器 中 读 出 ， 
该 程序 再 把 声音 输出 至 一 对 立体 声 喇 叭 。 期 间 ，RTCP 协 议 向 参与 会 话 
的 应 用 程序 提供 服务 质量 信息 ， 而 且 ， 如 果 这 是 一 段 预 先 录制 的 视频 
或 音频 文件 ， 而 不 是 一 名 真实 的 歌手 在 现场 演唱 ， 那 么 客户 端 上 的 用 
户 就 可 以 在 客户 端 应 用 程序 中 选择 选项 ， 通 过 RISP 向 服务 器 发 送 开始 
或 停止 命令 。 
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图 22.3 一 个 流传 输 的 场景 


22.4 传输 选项 


尽管 在 UDP 之 上 使 用 RIP 来 传输 音频 和 视频 流 的 方法 得 到 了 广泛 
应 用 ， 但 是 专家 们 仍然 在 研究 传输 层 的 可 选项 ， 以 解决 TCP 或 UDP 不 
适用 于 流传 输 的 问题 。 

流 控 制 | 传输 协议 (Stream Control Transmission Protocol, SCTP) 
首次 出 现在 RFC 2000 中 ， 现 在 涵盖 该 内 容 的 文档 为 RFC 4960. SCTP 
是 一 种 面向 连接 的 传输 协议 〈 因 此 更 像 是 TCP) ， 但 是 与 UDP 一 样 ， 
SCTP 更 面向 消息 。SCTP 还 提供 通过 单个 连接 同时 维持 若干 消息 流 的 
能 力 。 

数据 报 拥塞 控制 协议 (Datagram Congestion Control Protocol, 
DCCP) 在 RFC 4340 中 描述 ， 它 也 借鉴 了 TCP 和 UDP 中 的 特性 。DCCP 
是 面向 连接 的 (类似 TCP) ， 交 付 速 度 快 ， 但 不 可 靠 (类 似 UDP) o 

SCTP 和 DCCP 都 执行 某 种 称 为 拥塞 控制 的 功能 。 从 其 名 称 中 可 以 
看 到 ，DCCP 提 供 了 一 种 拥塞 控制 机 制 。 拥 塞 控 制 是 减少 与 TCP 有 关 的 
各 种 重 传 问题 以 及 提供 更 有 效 带 宽 利用 的 一 种 方法 。DCCP 协议 所 使 
用 的 算法 会 调整 数据 流 的 特征 ， 以 优化 吞吐 量 和 减少 重 发 数据 包 的 数 
Eo 

现在 ， 已 经 有 SCTP 和 DCCP 的 实现 可 以 使 用 了 。SCTP 问 世 的 时 间 
稍微 早 一 些 ， 可 能 更 为 开发 人 员 所 了 解 ， 但 是 DCCP 前 途 更 光明 。 


22.5 多 媒体 链接 


你 不 必 四 处 冲浪 ， 即 可 在 网 页 中 找到 所 宇 入 的 视频 和 音频 图 像 。 
单 击 某 个 链接 ， 来 听 一 个 声音 、 观 看 视频 或 者 是 欣赏 一 段 声 乐音 带 。 
你 可 能 正 感到 奇怪 ， 在 你 单 击 该 链接 后 ， 实 际 上 发 生 了 什么 。 

当然 ， 答 案 取决 于 该 链接 去 了 哪里 。 许 多 多 媒体 链接 就 是 简单 的 
文件 。 第 8 章 讲 到 ， 带 有 HREF 属性 的 <a> 标 记 是 对 另 一 个 资源 的 引 
用 。 在 先前 的 示例 中 ， 该 资源 就 是 一 个 网 页 。 不 过 ， 这 里 的 引用 可 以 
指向 任何 一 种 文件 ， 只 要 浏览 器 知道 如 何 解释 相应 文件 的 内 容 即 可 。 
现代 的 浏览 器 可 以 处 理 多 种 不 同类 型 的 文件 格式 。 在 Windows 系 统 
上 ， 文 件 扩展 名 (句点 之 后 的 文件 名 部 分 ， 比 如 .doc、.gif 或 .avi) 告诉 
浏览 器 (或 者 是 操作 系统 ) ， 应 该 使 用 哪个 应 用 程序 来 打开 相应 的 文 
件 。 其 他 一 些 操作 系统 可 以 不 依靠 文件 扩展 名 来 确定 文件 类 型 。 如 果 
浏览 网 页 的 计算 机 安装 有 打开 相应 视频 或 音频 文件 的 必要 软件 ， 而 且 
浏览 器 或 操作 系统 经 过 配置 后 可 以 识别 该 文件 ， 则 网 页 可 以 通过 一 个 
普通 的 链接 来 引用 该 文件 ， 然 后 计算 机 将 在 该 链接 被 单 击 时 执行 相应 
的 文件 。 

单 见 的 视频 文件 格式 如 下 所 示 。 

> AVI ( 音 视 频 交 错 ) : Microsoft 公 司 开 发 的 一 种 音 / 视 频 格式 。 

> MPEG (动画 专家 工作 组 ) : 一 种 流行 的 高 质量 数字 视频 格 


> SWE: 屏幕 动画 和 Flash 视 频 使 用 的 一 种 格式 。 

> MOV (QuickTime) : Apple 公 司 最 初 为 Mac 系 统 开发 了 
QuickTime 格 式 ， 但 是 现在 QuickTime 可 以 广泛 用 于 其 他 系统 。 

YouTube 可 以 让 用 户 提交 不 同 格式 的 视频 文件 ， 但 是 会 把 绝 大 多 
数 视频 都 转换 为 可 以 舱 入 某 个 .swf 文 件 中 的 一 种 FLV 了 格式 的 文件 ， 因 
为 Flash 格 式 播放 速度 比较 快 ， 而 且 Flash 播 放 器 很 容易 得 到 。Internet 上 


还 存在 其 他 几 种 音频 格式 ， 但 是 对 于 下 载 和 播放 音乐 文件 来 说 ， 到 目 
前 为 止 最 为 流行 的 是 有 专利 的 MP3 格 式 。 

当 你 在 客户 端 计 算 机 上 安装 多 媒体 软件 时 (例如 ， 当 你 安装 
QuickTime 查 看 器 时 ) ， 安 装 程序 通常 会 注册 当前 计算 机 应 该 用 来 打开 
此 应 用 程序 的 文件 扩展 名 。 有 时 候 ， 如 果 没 有 正确 的 应 用 程序 或 插件 
来 播放 当前 文件 ， 用 户 则 会 被 引 向 某 个 下 载 站 点 ， 自 动 安装 相应 的 文 
件 。 

当然 ， 记 录 、 编 码 和 查看 一 个 多 媒体 文件 的 过 程 要 复杂 得 多 。 不 
过 ， 那 些 细节 实际 上 不 是 HTTP 或 TCP/IP 的 事 。 网 络 所 关心 的 是 ， 浏 览 
器 是 否 只 是 在 用 户 单 击 相 应 的 链接 时 下 载 某 个 文件 。 

注意 : 辅助 的 应 用 程序 

浏览 器 有 时 使 用 其 他 应 用 程序 来 打开 和 执行 文件 的 事实 表明 ， 整 
个 HTTP 生态 系统 (HTTP, HTML, Web 服务 器 、Web 浏览 器 ) AM 
上 是 一 种 交付 方法 ， 非 常 像 TCP/IP 下 面 的 那些 层 。 

有 了 时， 链接 提供 连接 到 某 个 实际 多 媒体 流 的 可 选项 。 位 于 Internet 
上 的 流 服 务 器 按 需 向 单 击 链 接 的 用 户 ， 提 供 瘟 频 和 视频 流 。 

通过 Web 浏 览 器 启动 某 个 流 的 一 种 常见 方法 是 ， 使 用 你 在 本 章 前 
面 所 学 过 的 RTSP 协 议 。 本 章 前 面 已 经 讲 过 ，RTSP 并 不 实际 参与 流传 
输 ， 但 是 它 为 开始 和 停止 相应 的 流 提 供 一 种 控制 系统 。 像 
rtsp://greatmovies.com/casablanca.mp4 这 样 的 一 个 URL， 可 能 会 向 你 的 
桌面 交付 一 部 博 加 特 (《 卡 萨 布 兰 卡 》 男 主角 ) 的 经 典 影 片 ， 前 提 是 
你 的 浏览 器 配置 了 正确 的 软件 来 处 理 这 个 连接 。 

更 加 复杂 的 是 ， 流 有 时 被 Web 脚 本 所 隐藏 ， 或 者 故意 隐藏 起 来 。 
有 时 ， 某 个 多 媒体 流 的 URL 实 际 上 被 封装 在 一 种 被 称 为 元 文件 的 小 型 
文本 文件 中 。 地 址 栏 中 引用 的 资源 可 能 就 是 相应 的 元 文件 ， 它 们 可 能 
拥有 像 .pls、.ram、.asx、.wax 和 .wvx 等 这 样 的 扩展 名 。 如 果 想 知道 链 


接 措 向 哪里 ， 你 可 以 在 Internet 上 找到 几 种 工具 ， 来 帮助 找 出 某 个 隐藏 
的 多 媒体 流 的 位 置 。 


22.68% (Podcasting) _ 


在 多 媒体 文件 可 供 下 载 和 按 需 提供 连续 流 的 这 种 两 重 性 之 间 ， 是 
一 种 被 称 为 Podcast 的 中 间 (或 者 至 少 在 概念 上 截然 不 同 的 ) 创造 
Yo FEE” (Podcasting) 来 自 Apple 公 司 著名 的 iPod 设 备 ， 但 是 现在 
这 个 术语 有 了 更 广泛 的 意义 。 

Podcast 订 阅 通过 RSS feed 交付 多 媒体 (通常 是 音频 ) 内 容 。RSS 
最 初 用 来 向 用 户 提 供 或 发 送 新 闻 ， 有 一 点 像 是 通过 Internet 投 递 早 报 。 
用 户 订 阅 某 个 RSS 新 闻 服 务 ， 然 后 内 容 将 会 自动 交付 到 用 户 的 桌面 。 
这 里 的 要 点 是 ， 用 户 不 必 出 门 或 在 某 个 网 站 上 查找 新 闻 。 在 相应 的 订 
疝 建立 之 后 ， 新 内 容 就 会 被 自动 * 推 ?到 读者 面前 〈 见 图 22.4) o 


图 22.4 Podcasting 通过 一 个 RSS 服务 交付 多 媒体 文件 


Podcast 现象 的 目标 是 ， 利 用 RSS 工具 ， 直 接 把 多 媒体 文件 交付 
给 查看 程序 。 实 际 情 况 是 ，RSS 提供 了 一 种 方法 ， 将 某 个 文件 附加 到 
新 闻 消 息 。 那 种 附加 特性 后 来 成 了 Podcasting 的 传播 媒介 。 

Podcast 客 户 端 应 用 程序 管理 Podcast 文 件 ， 并 提供 更 新 通知 。 
iTunes 用 户 可 以 轻松 地 接收 Podcast， 而 其 他 音乐 播放 器 也 提供 该 特 
性 。iPodder 是 一 种 开源 的 Podcast 客 户 端 ， 可 以 与 Windows、Mac、 
Linux 和 BSD 系 统一 同 使 用 。 

Podcast 的 整个 目的 就 是 定期 接收 更 新 ， 那 意味 着 无 论 是 谁 正 在 服 
务 器 背 上 生成 那些 Podcast， 都 需要 提供 某 种 正在 进行 的 节目 安排 。 普 
通 大 众 的 Podcast 已 经 在 世界 各 地 广 为 流 行 ， 通 过 RSS 的 神奇 功能 ， 向 
订阅 者 播送 常规 访谈 、how-to 讨 论 、 音 乐 电 视 和 喜剧 节目 。 


22.7 VoIP 


Internet 电话 通信 现在 许多 地 区 都 十 分 常见 。 与 传统 的 电话 服务 相 
比 ，TCP/IP 电话 服务 通常 比较 便宜 ， 而 且 更 加 通用 。 在 许多 方面 ， 
Internet 电 话 只 是 另 一 种 形式 的 语音 流 ， 因 此 对 于 RTP 是 用 来 传输 VoIP 
通信 的 最 流行 的 协议 ， 应 该 不 会 感到 惊讶 。 但 是 ， 交 谈 的 过 程 只 是 难 
题 的 一 部 分 。 找 到 某 个 用 户 、 打 电话 、 建 立会 话 以 及 得 体 地 结束 会 
话 ， 这 些 事 都 需要 新 的 工具 和 协议 。 

如 果 你 期 望 自 己 的 IP 电 话 服务 与 传统 的 电话 网 络 相 连接 ， 你 还 将 
面 对 这 样 一 个 问题 : 提供 一 个 控制 系统 ， 它 能 兼容 (或 者 至 少 能 够 通 
过 接口 连接 ) 传统 电话 系统 上 使 用 的 等 效 控 件 。 

IP 电话 通信 可 以 通过 一 种 实际 的 硬件 电话 设备 (与 电话 机 相似 ， 
但 是 它 是 设计 来 与 TCP/IP 一 起 工作 的 ) 进行 ， 也 可 以 通过 一 种 被 称 为 
软件 电话 (soft phone) 的 计算 机 应 用 程序 进行 ， 那 种 程序 可 以 提供 电 
话 的 功能 ， 从 麦克 风 设 备 接收 音频 输入 ， 向 扬声器 或 头 戴 式 耳机 发 送 
音频 输出 ， 并 且 通 过 所 在 计算 机 上 的 TCP/IP 联 网 软件 与 世界 相连 。 在 
这 两 种 情况 下 ， 相 应 的 电话 都 通过 网 络 发 送 必须 被 通话 另 一 端的 电话 
所 接收 和 解释 的 信号 。 

有 几 种 协议 可 用 来 发 起 和 管理 VoIP 电 话 通 话 。 国 际 电信 联盟 的 
H.323 协 议 系 统 是 一 个 大 型 的 协议 复 ， 用 来 管理 VoIP、 电 话 会 议和 其 他 
通信 任务 。 许 多 VoIP 系统 都 是 针对 H.323 而 设计 的 。 

另 一 种 比较 新 的 协议 更 加 简单 (而且 易于 描述 ) ， 即 通常 所 说 的 
会 话 初 始 协议 (Session Initiation Protocol, SIP) o 

SIP 是 一 种 应 用 层 协 议 ， 用 来 开始 、 停 止 和 管理 某 个 通信 对 话 。 
SIP 向 远程 用 户 发 送 一 个 邀请 。 在 VoIP 环境 中 ， 该 邀请 就 相当 于 打 电 
话 。 除 了 发 起 和 终止 通话 外 ，SIP 还 具备 像 召 开会 议 、 呼 叫 转移 和 会 话 
参数 协商 (feature negotiation) 这 样 的 特性 。 


在 建立 通话 之 后 ， 实 际 的 语音 流通 信使 用 像 RITP 这 样 的 一 种 协议 

进行 。 
IP 电话 通信 的 另 一 个 复杂 情况 是 ， 成 功 地 与 使 用 老式 陆 上 线路 的 

打 电 话 者 建立 联系 。 一 个 VoIP 网 关 设 备 充当 从 Internet 到 该 电话 网 络 的 
接口 ( 见 图 22.5) 。VoIP 呼 叫 者 无 需 网 关 ， 即 可 直接 通过 Internet 相 互 
交谈 ， 但 是 当 他 们 呼叫 传统 电话 网 络 上 的 某 个 号 码 时 ， 相 应 的 呼叫 就 
会 被 路 由 至 某 个 VoIP 网 关 设 备 。Internet 电 话 通信 用 户 可 以 预定 一 个 
VoIP 网 关 服 务 ， 以 便 能 够 访问 某 个 网 天 。 这 种 可 选择 的 功能 一 般 也 是 
VoIP 电话 合同 的 一 部 分 ， 但 是 通过 网 关 进 行 连 接 的 费用 ， 通 常 要 远 高 
于 通过 端 对 问 Internet 通 话 扩 术 呼叫 某 个 用 户 的 费用 。 对 于 按 月 预付 费 
的 用 户 来 说 ， 通 过 Internet 通 往 世 界 各 地 的 端 对 端 通话 ， 通 常 都 是 免费 
的 (或 者 是 接近 人 免费) o 


图 22.5 一 个 VoIP 网 关 充 当 到 传统 电话 网 络 的 接口 


22.8 小 结 


本 章 介绍 了 一 些 在 Internet 上 提供 多 媒体 流传 输 的 技术 。 你 学 到 
了 有 关 RTP, RTSP 和 RTCP 的 知识 。 本 章 还 介绍 了 SCTP 和 DCCP 传 输 
协议 ， 并 且 讨 论 了 多 媒体 链接 是 如 何 通 过 一 次 鼠标 单 击 来 播放 音乐 和 
视频 的 。 你 还 学 习 了 播客 (Podcasting) 以 及 本 章 最 后 介绍 的 VoIP。 


22.9 间 与 答 


问 : 为 什么 主要 的 传输 层 协议 都 不 适合 流传 输 ? 

答 : UDP 比较 快 ， 但 是 不 可 靠 ， 而 TCP 比较 可 靠 ， 但 是 用 来 确 
保 交 付 的 那些 控制 使 得 它 比 较 慢 ， 而 且 容 易 重 发 数据 包 。 

问 : RTP 两 个 姊妹 协议 (RTCP 和 RTSP) 的 用 途 是 什么 ? 

&: 4 RTP 提供 流传 输 时 ，RTCP 监视 和 报告 服务 质量 。RTSP 
用 于 开始 或 停止 相应 流 的 控制 命令 。 

问 : 为 什么 YouTube 要 把 所 提交 的 视频 转换 为 Flash 格 式 ? 

=: Flash 是 一 种 高 效 且 可 靠 的 视频 格式 ， 而 且 Flash 播 放 器 很 容易 


得 到 。 


22.10 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


22.10.1 问题 


0 bb WÙ N e 


. 缓冲 在 RTP 中 的 作用 是 什么 ? 

. 什么 是 RSTP， 它 的 用 途 是 什么 ? 

. SCTP 和 DCCP 是 面向 连接 的 还 是 无 连接 的 协议 ? 
.Podcast 使 用 什么 系统 来 交付 ? 

. 什么 是 SIP， 它 的 用 途 是 什么 ? 


22.10.2 练习 


1. 查找 并 收听 一 个 采用 流 形式 来 传输 的 电台 。 
2. 如 果 你 可 以 使 用 VoIP， 请 拨打 以 一 个 电话 ， 然 后 将 其 通话 质 
与 传统 电话 进行 比较 。 
3. 查找 并 收听 一 个 podcast。 你 可 以 收听 podcast.come 


4. 观看 一 个 YouTube 视 屏 ， 然 后 将 其 视频 清晰 度 与 电视 的 清晰 度 
进行 比较 。 


22.11 = 


> 数据 报 拥塞 控制 协议 (DCCP) : 一 种 可 选 的 传输 层 协议 ， 用 
于 流传 输 应 用 程序 。 

> 会 话 参 数 协商 : 应 用 程序 或 设备 之 间 的 一 种 协商 ， 为 当前 连接 
达成 一 组 共同 的 特性 。 

> 播客 (Podcasting) : 一 种 用 来 通过 RSS feed 交 付 多 媒体 文件 


的 技术 。 

> 实时 控制 协议 (RTCP) : 一 种 为 RTP 提 供 服务 质量 监控 的 协 
Wo 

> 实时 流传 输 协议 (RTSP) : 一 种 为 RTP 提 供 控 制 命令 的 协 
Wo 


> 实时 传输 协议 (RTP) : 一 种 流行 的 流传 输 协议 。 

> 会 话 初 始 协议 (SIP) : 一 种 用 来 管理 VoIP 通信 的 协议 。 

> 流 控制 传输 协议 (SCTP) : 一 种 可 选 的 传输 层 协议 ， 用 于 流 
传输 应 用 程序 。 

> VoIP: 在 TCP/IP 网 络 上 进行 的 电话 通信 服务 。 


2238 生活 在 云端 


本 章 介绍 如 下 内 容 : 

> 软件 即 服务 ; 

> 虚拟 主机 托管 ; 

弹性 云 ; 

> 平台 即 服务 。 

现在 ， 所 有 人 都 在 讨论 云 ， 但 是 术语 “ 云 计算 ” 却 因为 语 境 的 不 
其 含义 各 有 千秋 。 本 章 将 从 终端 用 户 和 IT 专家 的 角度 来 讲解 云 。 
学 完 本 章 后 ， 你 可 以 : 

> 解释 为 什么 软件 即 服务 工具 在 移动 时 代 日 湖 流 行 ; 

> EXAT ZAMAJE; 

> 描述 数据 中 心 如 何 使 用 虚拟 化 ， 

> 描述 弹性 主机 托管 ; 

> 解释 平台 即 服务 是 如 何 区 别 于 EC2 类 型 的 弹性 云 服 务 的 。 


v 


231 什么 是 云 


在 对 流行 词汇 趋 之 若 玖 的 行业 ， 术 语 “ 云 计算 ”作为 一 个 最 响亮 的 
口号 开始 兴起 。IT 人 公司、 电话 公司 、 广 告 商 ， 以 及 其 服务 器 机 房 已 经 
相当 拥挤 、IT 预 算 已 经 超标 的 那些 普通 公司 ， 都 对 云 投入 了 巨大 的 热 
忱 。 与 很 多 流行 词汇 一 样 ， 云 计算 也 是 一 个 用 来 表达 某 种 含义 的 一 个 
术语 。 对 不 同 的 用 户 和 不 同 的 市 场 行业 而 言 ， 云 计算 所 指 代 的 具体 事 
务 也 不 相同 。 为 了 方便 讨论 ， 这 里 将 打 着 云 计 算 旗 号 的 服务 进行 了 领 
域 划 分 ， 如 下 所 示 。 

> 在 线 用 户 服务 : 为 终端 用 户 访 问 简 单 和 实用 的 在 线 服 务 (比如 
存储 、 打 印 和 桌面 生产 力 工具 的 在 线 版 本 ) 提供 便利 的 软件 即 服务 
(Software as a Service, SaaS) 工具 和 其 他 在 线 应 用 程序 。 

> IT 专业 的 云 服务 : 讨论 云 的 系统 管理 员 并 不 是 仅仅 使 用 在 线 的 
电子 表格 。IT 云 服务 通过 在 线 的 形式 可 以 替换 挥 IT 服务 器 机 房 中 的 所 
有 东西 ， 甚 至 包括 服务 器 硬件 。 

尽管 与 这 些 技术 打交道 的 经 历 各 不 相同 ， 但 是 它们 在 后 台 使 用 的 
都 是 相同 的 云 原则 。 

以 前 ， 服 务 需要 在 本 地 计算 机 或 本 地 网 络 上 进行 提供 ， 而 云 计算 

命 则 是 将 这 样 的 服务 放置 在 Internet 上 。 之 所 以 比喻 为 云 ， 是 因为 
它 缺乏 可 见 性 。 你 不 能 清楚 地 看 到 这 些 服务 来 自 于 哪里 ， 以 及 它们 是 
如 何 实现 各 自 的 服务 的 ， 你 只 是 知道 它们 就 在 那里 ， 你 可 以 通过 相同 
的 Internet 编 址 规则 来 访问 这 些 服务 。 

在 本 章 的 学 习 中 ， 你 会 注意 到 ， 云 服务 模型 是 另外 一 种 形式 的 客 
户 端 /服务 器 架构 ， 而 后 者 是 本 书 的 一 个 主题 。 但 是 ， 在 云 的 世界 中 ， 
服务 器 和 客户 端 〈 也 就 是 应 用 程序 ) 之 间 的 界限 相当 模糊 。 

本 章 后 面 的 内 容 会 从 终端 用 户 角度 和 IT 服务 的 角度 来 讲解 云 。 但 
是 ， 请 记 住 ，IT 云 “数据 中 心 ”技术 (比如 虚拟 计算 和 基于 云 的 负载 均 


1) 很 有 可 能 在 SaaS 类 型 的 云 服务 的 幕后 工作 ， 就 如 同 它 们 默默 地 出 
现在 许多 主要 网 站 、 企 业 网 络 和 社交 化 网 络 服务 中 的 框架 内 那样 。 


23.2 用 户 的 云 


在 第 20 章 讲 到 ，TCP/ 上 P 和 Web 基 础 设施 已 经 成 为 开发 和 部 署 基于 
网 络 的 应 用 程序 的 平台 。 当 你 浏览 如 今 的 网 站 时 ， 你 甚至 不 会 看 到 一 
个 简单 的 静态 HTML 页 面 。 

本 书 前 面 章 节 已 经 讲解 了 通过 网 络 来 启用 脚本 或 其 他 编程 元 素 的 
方法 。 如 今 的 基于 云 的 服务 进一步 延伸 了 这 个 概念 。 本 章 后 面 小 节 会 
讲 到 ， 云 通过 浏览 器 窗口 为 用 户 提供 了 完善 的 体验 。 

终端 用 户 在 网 上 冲浪 已 经 多 年 ， 却 没有 听 说 过 基于 云 的 服务 或 客 
户 云 范式 。 从 某 种 意义 上 来 说 ,与 云 相关 的 技术 是 逐渐 演变 的 ， 但 是 
术语 “ 云 " 却 随 着 智能 手机 和 移动 app 文 化 的 兴起 而 被 终端 用 户 所 熟知 。 
通过 将 应 用 程序 的 处 理 转移 到 服务 器 端 ， 从 而 将 客户 端 资 源 的 需求 降 
至 最 低 ， 厂 商 可 以 在 大 量 的 轻型 系统 上 提供 大 量 的 服务 。 与 此 同时 ， 
规模 经 济 节 省 了 服务 器 端的 开支 ， 因 为 存在 大 量 用 户 ， 因 此 有 助 于 降 
低 服 务 器 的 每 用 户 成 本 。 

但 是 ， 支 持 这 些 用 户 云 环境 的 大 厂商 (比如 Apple、Google 和 
Microsoft) 并 没有 将 云 简 单 地 当成 一 种 网 络 互 连 。 这 些 厂商 只 所 以 将 
用 户 吸 引 到 云 中 ， 是 因为 他 们 可 以 通过 用 户 的 数量 来 争取 广告 商 的 广 
告 费用 ， 甚 至 也 可 以 通过 销售 用 户 统计 信息 来 谋 利 。 

下 面 的 小 节 将 讲解 用 户 云 环境 中 的 一 些 代 表 性 元 素 。 你 将 学 习 


” SaaS; 

> 云 存 储 和 备份 ; 

> 云 打 印 。 

请 记 住 ， 这 些 服 务 的 目标 是 将 计算 机 或 移动 设备 简单 、 不 唐 突 地 
集成 到 用 户 生 活 中 ， 这 样 ， 用 户 就 可 以 随时 随地 处 理 手头 的 任务 ( 比 
如 查找 歌曲 或 提交 图 片 ) 。 


23.2.1 软件 即 服务 


术语 “软件 即 服务 (SaaS) “可 以 应 用 到 运行 于 Web 服 务 器 (而 不 
是 用 户 的 桌面 环境 ) 的 大 量 用 户 应 用 程序 中 。 其 中 很 多 应 用 程序 都 是 
经 典 的 生产 力 工 具 ， 比 如 字 处 理 程序 、 电 子 表格 和 演示 软件 。 很 多 其 
他 的 流行 在 线 应 用 程序 也 属于 该 类 别 。 

在 SaaS 的 世界 中 ， 唯 一 的 客户 端 是 Web 浏 览 器 ， 其 他 所 有 的 事情 
都 在 服务 器 上 运行 。 例 如 ， 用 户 可 以 连接 到 一 个 在 线 的 字 处 理工 具 ， 
并 在 Web 浏 览 器 中 写 文章 。 这 种 方式 的 一 个 最 主要 的 好 处 是 ， 用 户 可 
以 通过 任何 Web 浏 览 器 来 访问 相同 的 文章 。 用 户 可 以 通过 学 校 中 的 计 
算 机 登录 ， 也 可 以 通过 位 于 世界 另 一 端的 酒店 的 计算 机 登录 ， 从 而 访 
问 同一 个 在 线 文档 。 而 且 服 务 广 商 还 提供 了 容错 功能 ， 这 样 用 户 就 不 
用 担心 因为 硬盘 故障 而 导致 文档 丢失 的 情况 了 。 

SaaS 工 具 已 经 存在 了 多 年 ， 但 是 它们 最 近 才 随 着 像 Google Docs 
(HE 23.1) 这 样 的 工具 套件 的 出 现 ， 而 逐渐 流行 起 来 。Apple 的 
iWork 套 件 的 在 线 版 本 为 iPhone 和 iPad 用 户 提 供 了 相似 的 服务 。 
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Software As a Service 


The term Software As a Service (SaaS) applies to a broad range of user appications designed 
to run on web servers rather than on the user's desktop. Many of these applications fall along the 
Ines of ciassx productivity tools, such as word processors, spreadsheets, and presentabon 
software. But many other popular online applic ations also fall into this category 

in the world of SaaS, the only client is the web browser —everything else runs on the server 
(Figure 7) For instance, the user can connect to an onlıne world processing tool and write an 
essay with a web browser. One of the major benefits is that Ihe user can then reach the same 
essay from any web browser The user can log in from a computer at school, or from a 
computer m a hotel room across the world and access the same online document Also, the 
service vendor provides fault tolerance, so the user doesn't have to worry about losing the 


document with a hard drive crash 


图 23.1 Google Docs 和 其 他 类 似 的 Saas 工 具 以 在 线 方式 提供 了 与 传统 桌 
面 生产 力 工 具 (比如 字 处 理 程序 和 电子 表格 ) 相似 的 功能 


Saas TAH EE ee Apps 提 供 的 传统 生产 力 服 
务 。 从 理论 上 讲 ， 我 们 今天 经 常见 到 的 一 些 mmternet 工 具 也 属于 SaaS 工 
A (比如 ， O Flickr 照 片 管 理 器 ， 以 及 Gmail webmail 服 
务 ) 。 有 关 这 些 工具 的 完整 介绍 ， 可 以 在 线 访问 这 些 工具 。 出 于 讲解 
的 需要 ， 我 们 需要 记 住 的 一 点 是 ， 尽管 从 用 户 体验 的 角度 来 看 ， 这 些 
工具 激动 人 心 而 且 是 革命 性 的 ， 但 是 从 实质 上 来 讲 ， 它 们 仍然 是 使 
用 TCP/IP 连 网 技术 来 实现 的 ， 这 些 技术 包括 : 

通过 HTTPS 的 加 密 登 录 和 访问 ，; 
> 通过 HTTP 传 输 的 HTML，; 


> 对 客户 端 工作 区 和 其 他 客户 端 /服务 器 端 脚本 技术 进行 高 效 更 
新 的 AJAX ; 

> 人 允许 用 户 高 效 存储 和 检索 数据 的 XML， 以 及 基于 REST 和 
SOAP 的 Web 服 务 组 件 ; 

> 内 容 管 理 系统 (CMS ， 在 某 些 情况 下 ， 还 包括 管理 和 维护 
客户 端 工作 区 ， 以 及 与 后 端 数据 库 或 基于 XML 的 数据 存储 进行 通信 的 
其 他 Web 服 务 应 用 程序 。 

当然 ， 使 用 相同 CTP/IP 协 议 进 行 的 所 有 通信 ， 都 会 通过 统一 资源 
标识 符 (URI) 来 传输 资源 位 置信 息 。 


oH 


23.2.2 云 存 储 和 备份 

基于 云 的 存储 和 备份 是 一 种 快速 增长 的 云 范式 应 用 程序 ， 它 可 以 
扩展 到 从 家 庭 用 户 到 大 型 网 络 的 所 有 应 用 级 别 。 网 络 备份 技术 已 经 存 
在 多 年 ， 并 在 企业 网 络 中 得 到 了 广泛 应 用 。 在 前 面 章节 中 讲 到 ， 
Internet 其 实 就 是 另外 一 种 TCP/ 耻 网络， 因此 这 些 技 术 也 可 以 很 容易 地 
应 用 到 Internet 环境 中 。 为 了 让 基于 云 的 存储 和 备份 有 更 为 广泛 的 应 
用 ， 工 程 师 们 实现 了 与 之 相关 的 必要 技术 ， 并 同时 指明 了 实现 云 存储 
和 备份 所 需要 的 条 件 : 快速 的 网 络 和 丰富 、 连 接 的 在 线 存储 。 

上 面 一 节 讲 到 ， 用 户 文件 和 文件 夹 的 在 线 存储 可 以 让 用 户 从 多 个 
位 置 来 对 其 访问 。 这 个 概念 也 可 以 用 于 备份 。 尽 管 专家 呼吁 用 户 要 定 
期 进行 数据 备份 ， 但 是 大 量 的 用 户 对 此 根本 不 屑 一 顾 ， 而 云 备 份 服务 
可 以 自动 执行 该 任务 。 从 此 ， 困 扰 用 户 多 年 的 问题 现在 得 以 解决 。 大 
多 数 的 云 备 份 工 具 采 用 的 是 相似 的 方法 。 如 图 23.2 所 示 ， 用 户 的 家 用 
系统 中 存在 一 个 某 种 形式 的 备份 代理 程序 。 每 隔 一定 的 时 间 间 隔 GA 
常 由 用 户 来 定义 ) ， 操 作 系 统 会 唤醒 客户 端 代理 ， 用 于 收集 从 上 一 个 
备份 后 发 生 过 修改 的 文件 (或 者 是 所 有 的 文件 ， 这 取决 于 用 户 的 设 
置 ) ， 然 后 再 连接 到 备份 服务 ， 并 将 文件 传输 到 服务 器 位 置 。 大 多 数 
高 端的 服务 会 为 数据 备份 和 恢复 过 程 使 用 某 些 形 式 的 加 密 。 


a 


>. 


图 23.2 每 隔 一 定 的 间隔 ， 操 作 系统 就 会 唤醒 备份 代理 程序 ， 后 者 将 文 
件 发 送 到 基于 云 的 备份 服务 中 


与 上 一 节 描 述 的 SaaS 工具 相似 ， 基 于 云 的 存储 也 提供 了 从 其 他 位 
置 的 其 他 计算 机 来 访问 数据 的 能 力 。 存 储 服务 还 可 以 处 理 容错 的 问 
题 ， 而 且 将 数据 存储 在 异地 ， 可 以 防止 因为 火灾 或 其 他 灾难 造成 数据 
丢失 的 情况 出 现 。 

在 线 备份 解决 方案 的 价格 相对 低廉 ( 某 些 情况 下 ， 每 个 月 只 要 5 美 
元 ， 当 该 解决 方案 与 其 他 服务 绑 定时 ， 甚 至 是 免费 的 ) 。 许 多 隐私 保 
护 倡 导 者 在 过 去 提 到 的 一 个 问题 是 ， 其 他 人 也 可 以 获得 你 的 数据 。 其 
中 很 多 在 线 备 份 服务 坦率 地 承认 (或 者 不 会 否认 ) ， 通 过 扫描 在 线 数 
据 ， 它 们 可 以 获得 市 场 信息 和 用 户 统计 信息 。 即 使 你 关闭 了 账户 ， 也 
不 能 保证 它们 不 会 删除 你 的 数据 。 


带 有 基于 Web 的 SaaS 工 具 的 在 线 存储 实际 上 已 经 成 为 一 种 必然 。 
即使 使 用 本 地 应 用 程序 来 存储 数据 ， 在 线 存储 也 逐渐 成 为 一 种 流行 的 
选项 。 尤 其 是 在 充斥 着 大 量 廉 价 的 便携 式 计算 机 和 移动 设备 的 世界 
中 ， 它 们 的 存储 空间 受到 限制 ， 而 且 也 没有 方便 而 且 可 用 的 备份 介质 
时 ， 在 线 存储 无 疑 成 为 其 首选 。 


23.2.3 云 打 E 


Google 的 云 打印 是 一 种 比较 新 的 而 且 仍 然 在 实验 之 中 的 技术 ， 该 
技术 展示 了 一 个 云 服 务 可 以 大 显 身 手 的 领域 。 我 们 以 这 个 创新 技术 来 
结束 对 用 户 云 环境 的 简要 讨论 ， 原 因 是 ， 像 云 打印 这 样 的 技术 可 能 会 
在 某 天 产生 新 一 代 的 基于 云 的 控制 技术 ， 通 过 该 技术 ， 人 们 可 以 管理 
家 庭 中 琳琅 满目 的 家 电 和 设备 。 

Google 的 理念 是 通过 某 种 形式 的 云 服务 来 管理 打印 机 。 用 户 可 以 
通过 Google 账户 与 打印 设备 关联 起 来 。 当 用 户 向 打印 机 发 送 一 个 打印 
作业 时 ， 计 算 机 访问 Google 的 打印 服务 ， 后 者 将 文件 转换 为 可 打印 格 
式 ， 然 后 发 送 给 打印 机 〈 见 图 23.3) o 


图 23.3 Google 甚至 可 以 通过 基于 云 的 服务 来 管理 你 的 打印 机 


乍 一 看 ， 这 个 概念 似乎 完全 没有 必要 。 从 本 质 上 来 看 ，Google 的 
打印 服务 充当 的 是 一 个 打印 队列 或 打印 服务 器 ， 这 个 角色 可 以 由 普通 
的 家 用 计算 机 富 无 难度 地 实现 。 然 而 ，Google 的 这 种 愿景 具有 一 些 优 
Fo 

按照 Google 的 说 法 ， 云 打印 服务 可 以 让 用 户 免 于 因为 安装 和 管理 
打印 机 驱动 程序 而 市 来 的 问题 ， 这 样 也 融 避 免 了 很 多 单 见 的 打印 机 排 


错 场 景 。 


服务 的 全 球 性 提供 了 与 SaaS 工具 类 似 的 好 处 : 用 户 可 以 在 一 个 远 
程 位 置 使 用 家 用 计算 机 的 打印 服务 ， 而 且 如 果 你 的 朋友 或 者 同事 得 到 
了 你 的 许可 ， 也 可 以 在 远程 位 置 来 使 用 你 的 家 用 计算 机 的 打印 服务 。 

注意 : 另外 一 个 打印 云 

HP 自己 也 有 基于 Web 的 打印 服务 ， 它 的 服务 于 Google 定 义 的 云 打 
印 服务 略 有 不 同 ， 两 者 之 间 可 以 相互 取代 。HP ePrint 系 列 中 的 HP 打印 
机 模型 具有 一 个 电子 邮件 地 址 ， 用 户 可 以 通过 电子 邮件 将 文档 发 送 到 
打印 机 的 邮件 地 址 ， 来 打印 文档 。 

Google 愿 景 的 完整 版 本 需要 一 台 云 就 绪 打 印 机 (Cloud-Ready 
Printer, CRP) ， 它 看 起 来 就 是 一 台 网 络 就 绪 打 印 机 (network-ready 
printer) ， 它 内 置 了 TCP/IP 的 支持 和 其 他 必要 的 软件 ， 从 而 能 够 参与 
到 Google 的 云 打 印 服务 中 。 如 果 打 印 机 不 满足 这 些 需 求 ， 它 只 要 连接 
到 一 台 使 用 Google Chrome 浏 览 器 的 本 地 计算 机 ， 就 可 以 参与 到 云 打印 
服务 中 。 

如 果 Google 的 云 打印 服务 的 愿景 能 够 取得 成 功 ， 其 他 厂商 也 会 采 
取 类 似 的 技术 ， 并 就 将 这 个 概念 进行 扩展 ， 以 包含 其 他 设备 ， 比 如 家 
庭 娱乐 中 心 或 厨房 用 具 。 


23.3 ITZ 


对 IT 从 业 人 员 来 说 ， 本 章 前 面 讨 论 的 技术 实际 上 是 对 常规 连 网 原 
理 和 Web 服 务 技术 的 一 种 扩展 。 据 专家 所 说 ， 真 正 的 云 革命 都 是 在 幕 
后 进行 的 。IT 云 服务 模型 已 经 改变 了 公司 和 政府 对 IT 服务 做 决定 的 方 
To 

如 今 的 IT 云 环境 是 两 个 重要 发 展会 聚 的 产物 : 

> 虚拟 化 ; 

> 现代 数据 中 心 。 

下 面 的 小 结 将 讲解 这 些 重要 的 新 技术 ， 并 讨论 肝 些 基础 云 服 务 的 
替代 品 。 


23.3.1 


虚拟 化 是 在 计算 机 内 重新 创建 现实 世界 中 的 某 种 类 型 的 对 象 或 进 
程 的 行为 。 对 计算 机 内 的 虚拟 化 来 说 ， 一 个 常见 的 用 途 就 是 虚拟 另外 
一 台 计 算 机 。 换 句 话 说 ， 在 一 台 计 算 机 上 运行 的 一 个 进程 执行 真实 计 
算 机 的 功能 ， 而 且 在 网 络 看 来 ， 该 进程 就 像 是 一 台 真实 的 计算 机 。 这 
个 虚拟 的 计算 机 (或 者 是 虚拟 机 ) 能 够 运行 应 用 程序 ， 监 管 外 部 进 
程 ， 甚 至 可 以 通过 它 自己 的 网 络 地 址 与 远程 计算 机 通信 。 

图 23.4 展 示 了 一 个 典型 的 虚拟 化 场景 。 运 行 虚拟 机 的 计算 机 (A 
有 真实 的 硬件 ) 被 称 为 主机 系统 (host system) 。 在 主机 上 运行 的 虚 
拟 计 算 机 被 成 为 客户 系统 (guest system) o 

大 约 在 20 世 纪 60 年 代 ， 出 现 了 多 种 虚拟 化 技术 ， 但 是 只 有 当 计 算 
机 足够 快 、 足 够 强大 ， 并 且 能 够 支持 密集 的 处 理 负 载 (这 些 负 载 与 作 
为 一 个 内 部 进程 运行 的 整个 虚拟 计算 机 相关 联 ) 时 ， 这 一 概念 才 在 大 
规模 生产 环境 中 具备 了 可 行 性 。 当 然 ， 主 机 系统 必须 运行 可 以 为 客户 
系统 提供 虚拟 环境 的 软件 ， 这 样 客 户 系统 才能 表现 为 如 同 在 真实 的 硬 
件 上 运行 。 


图 23.4 一 台 单 独 的 物理 计算 机 可 以 是 多 台 虚 拟 客户 系统 的 主机 。 每 一 
台 从 机 作为 真实 的 计算 机 出 现在 网 络 上 


许多 厂商 提供 了 适用 于 工业 环境 的 虚拟 机 软件 ， 其 中 包括 
VMware, KVM, Xen 和 Microsoft 的 Hyper-V。 由 于 下 面 几 个 原因 ， 虚 
拟 化 技术 在 最 近 几 年 逐渐 流行 起 来 。 

> 空间 : 通过 在 单 台 主机 上 运行 多 个 虚拟 计算 机 ， 可 以 减少 服务 
器 机 房 所 需要 的 面积 ， 从 而 节省 了 大 量 的 资金 ， 而 且 当当 公司 无 法 扩 
展 器 服务 器 机 房 的 面积 时 ， 可 以 为 公司 提供 一 种 扩展 方法 。 

> 功率 : 推动 虚拟 化 趋势 的 部 分 原因 是 通用 费用 (utility 
costs) 。 与 一 组 硬件 服务 器 相 比 ， 运 行 多 个 虚拟 系统 的 单个 主机 使 用 
的 功率 要 小 很 多 。 

> 可 扩展 性 : 可 以 根据 需要 来 开启 和 停止 新 的 虚拟 系统 。 

> 安全 性 ; 针对 入 侵 ， 虚 拟 提供 提供 了 额外 的 一 层 安 全 保护 ， 这 
样 ， 如 果 攻 击 者 进入 了 客户 系统 ， 一 种 沙 箱 类 型 的 安全 环境 也 可 以 阻 
止 入 侵 者 访问 主机 。 如 果 有 一 台 客 户 系统 不 断 受到 威胁 ， 可 以 简单 地 
将 其 删除 和 替换 。 

> 兼容 性 : 虚拟 系统 可 以 运行 无 法 在 主机 上 运行 的 程序 。 例 如 ， 
针对 先前 的 Windows 版 本 创建 的 旧 有 应 用 程序 无 法 在 当前 的 Windows 
系统 中 运行 ， 但 是 可 以 运行 在 使 用 先前 操作 系统 的 虚拟 计算 机 上 。 


一 旦 你 开始 将 一 个 完整 的 计算 机 系统 当 作 像 计算 机 进程 一 样 的 东 
西 ， 它 不 会 占据 空间 ， 而 且 可 以 根据 需要 出 现 或 消失 ， 那 么 ， 你 就 为 
自己 开启 了 一 个 部 署 和 管理 计算 机 的 新 世界 。 


23.3.2 现 心 的 兴 


廉价 的 文件 存储 和 快速 的 Internet 连接 才 产 生 了 一 个 名 为 数据 中 
心 的 新 概念 ， 我 们 可 以 将 数据 中 心 看 作 一 个 存储 并 且 处 理 大 量 数据 的 
地 方 。 数 据 中 心 通常 是 充满 服务 器 和 存储 阵列 的 大 型 建筑 物 。 典 型 的 
数据 中 心 是 像 Google 或 Amazon 这 样 的 Internet 公 司 巨 头 ， 它 们 需要 放置 
大 量 的 数据 ， 而 且 这 些 数据 还 需要 方便 Internet 用 户 的 访问 。 

数据 中 心中 存放 着 物理 计算 机 系统 的 机 架 ， 每 一 个 系统 都 运行 多 
个 虚拟 计算 机 系统 。 而 且 整 个 基础 设施 设计 精良 ， 可 以 提供 容错 和 负 
载 均衡 〈 见 图 23.5) 。 虚拟 系统 通常 跨 物理 硬件 分 布 ， 以 均衡 服务 器 
的 负载 。 在 某 些 情况 下 ， 物 理 可 以 通过 将 进程 移动 到 其 他 系统 ， 对 服 
务 器 过 载 或 系统 性 能 恶化 做 出 响应 。 

当然 ， 数 据 中 心 需要 连接 到 Internet 上 ， 而 且 公 众 还 可 以 通过 
TCP/IP 来 访问 和 编 址 数据 中 心 。 在 内 部 ， 数 据 中 心 的 本 地 网 络 通常 使 
用 专 有 的 超 高 速 光 纤 网 络 ， 或 者 是 其 他 可 以 提供 数据 共享 和 存储 性 能 
的 高 级 技术 。 
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虚拟 机 实例 


图 23.5 在 数据 中 心 内 ， 虚 拟 机 实例 部 署 在 一 组 安装 在 机 架 上 的 服务 器 
上 ， 以 平衡 负载 


当代 IT 数据 中 心 的 巨大 能 力 为 今天 我 们 熟知 的 IT 云 产 业 提供 了 一 
个 合适 的 计算 环境 。 


23.3.3 


IT 云 服务 有 助 于 网 络 扩展 其 性 能 ， 而 且 在 某 些 情 况 下 ， 它 们 为 不 
想 在 传统 的 服务 器 基础 设施 上 进行 投资 的 公司 ， 提 供 了 一 个 完全 的 解 
IRA Ko 

为 了 理解 云 服 务 的 发 展 ， 我 们 最 好 是 先 着 眼 于 Web 主 机 托管 行 
业 。 在 过 去 几 年 ， 有 一 个 主流 行业 已 经 发 展 起 来 ， 它 以 为 公司 和 个 人 
提供 主机 托管 的 网 站 为 服务 理念 。 你 无 须 购买 主机 的 服务 器 ， 并 给 其 
分 派 一 个 可 用 于 Internet 的 地 址 ， 你 只 要 像 主 机 托管 公司 支付 一 定 的 
费用 ， 它 们 就 会 为 你 托管 网 站 。 这 也 就 避免 了 所 有 与 配置 和 管理 硬件 
相关 的 问题 (更 不 用 考虑 Internet 线 路 费用 和 安全 问题 了 ) 。 你 所 需要 
的 就 是 提供 Web 内 容 。 

主机 托管 最 初 的 目标 只 是 将 客户 的 HTML 页 面 张贴 到 主机 托管 公 
司 的 Web 服 务 器 上 。 但 是 ， 在 虚拟 化 时 代 ， 主 机 托管 公司 可 以 提供 一 
个 新 的 选项 : 虚拟 化 主机 托管 。 在 一 个 虚拟 的 主机 托管 场景 中 ， 客 户 
租用 一 个 运行 在 提供 商 数据 中 心 内 部 某 处 的 一 个 完整 的 虚拟 计算 机 系 
统 。 然 后 用 户 就 可 以 访问 这 个 完整 的 虚拟 计算 机 系统 ， 而 不 用 担心 管 
理 真实 的 硬件 所 带 来 的 问题 。 第 一 个 虚拟 主机 托管 安排 通常 用 于 托管 
Web 服 务 器 系统 。 由 于 客户 租用 的 是 一 个 完整 的 服务 器 系统 ， 因 此 从 
理论 上 来 讲 ， 该 系统 与 其 他 服务 器 没有 区 别 。 它 可 以 充当 数据 库 服 务 
器 ， 也 可 以 提供 某 些 类 型 的 Web 服 务 解决 方案 。 客 户 对 系统 的 使 用 方 
式 具 有 很 大 的 控制 力度 ， 因 此 可 以 通过 客户 公司 内 部 的 IT 职工 来 管理 
该 系统 ， 而 且 这 样 要 比 向 托管 公司 支付 费用 来 管理 系统 的 方式 更 为 便 
宜 。 但 是 ， 硬 件 、Internet 连 通 性 和 容错 等 都 需要 由 主机 托管 公司 来 管 
理 。 

这 些 主机 托管 技术 可 以 用 作 IT 云 的 环境 。 


23.3.4 弹性 云 


早 在 几 年 以 前 ，Amazon 就 意识 到 ， 它 的 数据 中 心 有 大 量 的 额外 
容量 ， 在 多 年 以 来 一 直 处 于 空 闪 状态 。 只 所 以 设计 数据 中 心 ， 就 是 希 
望 在 高 峰 时 段 (比如 圣诞 节 假 期 ) 能 够 发 挥 其 功能 ， 应 对 用 户 的 大 量 
订单 ， 而 在 一 年 的 其 他 时 间 ， 服 务 器 的 部 分 容量 却 处 于 闲置 状态 。 为 
了 让 这 些 额 外 的 容量 有 用 武之 地 ，Amazon 在 2006 年 7 月 推出 了 Amazon 
Web 服 务 (Amazon Web Service, AWS) 。AWS 开 启 了 云 开 的 新 纪 
JUDo 

在 Amazon 的 AWS 的 中 心 ， 是 一 个 名 为 弹性 计算 云 (Elastic 
Compute Cloud, EC2) 的 服务 。Amazon 的 EC2 弹 性 云 服务 可 以 让 用 户 
根据 需要 创建 和 部 署 虚拟 机 实例 。 该 服务 称 为 “弹性 的 ”， 是 因为 它 可 
以 轻易 扩展 ， 以 适应 客户 的 访问 高 峰 。 用 户 不 再 按照 月 度 或 年 度 来 租 
用 虚拟 服务 器 ，EC2 可 以 以 每 小 时 为 基础 提供 不 同 规模 的 虚拟 服务 
器 。 当 负载 提升 时 ， 你 可 以 使 用 更 多 的 计算 机 空间 ， 而 当 负 载 回 洛 
时 ， 虚 拟 服务 器 就 可 以 退出 服务 ， 并 停止 计 费 ( 见 图 23.6) o 
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图 23.6 在 一 个 弹性 云 场景 中 ， 当 需要 处 理 的 负载 超出 了 本 地 网 络 的 容 
量 时 ， 过 量 的 负载 将 会 发 送 到 云 提供 商 ， 然 后 提供 商 安排 其 他 的 虚拟 
机 实例 处 理 这 些 负载 


其 他 几 家 云 厂商 现在 也 提供 了 类 似 的 服务 。 这 些 服务 相当 流行 ， 
原因 很 简单 : 用 户 只 有 在 使 用 这 些 服务 时 ， 才 付费 。 而 且 ， 客 户 的 家 
庭 网 络 不 用 再 承担 最 大 的 工作 负载 。 本 地 网 络 可 以 回落 到 稳 态 的 流量 
水 平 ， 而 用 于 高 峰 服 务 的 额外 容量 则 由 云 来 提供 。 

现在 有 些 工 具 可 以 对 派生 这 些 虚拟 机 实例 的 过 程 进行 管理 ， 并 扩 
展 计算 机 性 能 (power) ， 使 其 适应 不 断 扩 大 的 工作 负载 。Amazon 有 
一 组 围绕 着 EC2 云 的 其 他 服务 ， 其 中 包括 用 于 在 线 存储 的 简单 队列 
(Simple Queue) 服务 和 简单 存储 服务 (Simple Storage Service) 。 像 
Eucal yptus 这 样 的 工具 提供 了 一 种 方法 来 管理 对 Amazon 云 的 访问 。 另 


外 一 个 例子 是 Rackspace 的 OpenStack 平 台 ， 它 最 初 是 用 于 支持 
Rackspace 自 己 的 云 服 务 。 其 他 几 家 厂商 也 提供 了 各 种 不 同类 别 而 且 可 
以 扩展 的 云 服务 。 


23.3.5 平台 即 服务 

在 云 领域 的 另外 一 端 还 存在 一 组 服务 ， 它 们 有 时 被 称 为 “平台 即 服 
务 (Platform as a Service，PaaS) ”工具 。 与 EC2 不 同 ， 这 些 工 具 不 能 
完全 派生 整个 虚拟 计算 机 ， 而 只 是 为 客户 的 应 用 程序 提供 一 个 可 以 在 
云 中 执行 的 平台 (0623.7) ， 而 且 用 户 无 法 看 到 具体 的 细节 ( 例 
如 ， 用 户 并 不 知道 使 用 的 是 什么 虚拟 机 ， 以 及 使 用 了 多 少 台 ) 。 客 户 
基本 上 只 是 提供 了 与 API 相 关 的 信息 ， 以 用 于 访问 服务 ， 而 且 大 多 数 
服务 都 支持 特定 的 编程 语言 。 例 如 ，Google 的 App Engine PaaS 服 务 可 
以 支持 Python 和 Java， 而 Microsoft 的 Azure 支 持 C#、Java、PHP 和 
Rubyo 

与 弹性 云 服 务 一 样 ，PaaS 也 可 以 很 容易 地 根据 需要 进行 扩展 。 但 
是 ， 这 是 这 些 服务 只 能 对 特定 的 编程 工具 和 语言 起 作用 (通常 是 对 自 
定义 的 应 用 程序 起 作用 ) ， 而 且 不 能 提供 通用 的 编程 解决 方案 。 


应 用 编程 
接口 (API) 


图 23.7 平台 即 服务 : 客户 的 应 用 程序 在 云 中 运行 。 只 要 应 用 程序 符合 
API 的 要 求 ， 细 节 就 不 再 重要 


23.3.6 其 他 云 


其 他 的 IT 云 介 于 纯 PaaS 选 项 (“只 需 将 你 的 应 用 程序 提供 给 我 们 ， 
其 他 的 事情 我 们 来 做 *) 和 纯 弹 性 云 (联机 创建 和 部 署 虚拟 系统 ) 选项 
之 间 。 这 些 云 计算 选项 都 具有 高 度 可 扩展 性 的 特征 ， 而 且 都 依赖 于 数 
据 中 心 技 术 ， 也 都 存在 不 同 程度 的 不 透明 性 (客户 只 能 看 到 对 他 们 来 
说 是 重要 的 东西 ) 。 

注意 : 本 地 云 

尽管 前 面 几 节 描述 的 云 架构 给 我 们 留 下 了 深刻 的 印象 ， 而 且 它 们 
都 是 通过 大 规模 的 在 线 服务 提供 商 (比如 Amazon 和 Google) 来 部 署 ， 
但 是 这 些 技术 也 可 以 用 于 私有 网 络 。 有 些 公 司 正 在 尝试 部 署 他 们 自己 
的 云 服 务 基础 设施 ， 而 且 该 过 程 无 需 外 部 云 厂商 的 介入 。 


23.4 计算 的 未 来 


虚拟 化 、 数 据 中 心 和 云 技术 的 广泛 使 用 ， 产 生 了 与 Internet 计 算 的 
未 来 有 关 的 有 趣 问 题 。 在 云 的 世界 中 ， 真 正 需 要 在 客户 端 计算 机 上 运 
行 的 唯一 应 用 程序 是 Web 浏览 器 。 其 他 所 有 的 应 用 程序 ， 甚 至 像 打 印 
这 样 的 服务 ， 都 可 以 通过 云 服 务 来 管理 。 

操作 系统 作为 传统 平台 来 运行 任意 程序 与 并 与 设备 进行 对 话 的 这 
一 传统 概念 ， 可 能 最 终 会 因为 客户 端 只 需要 支持 一 个 浏览 器 ， 服 务 器 
只 需要 运行 虚拟 机 ， 而 未 失 其 重要 性 地 位 。 运 行 特定 应 用 程序 的 客户 
系统 可 能 会 “瘦身 ”到 只 剩 下 必要 组 件 来 运行 程序 的 地 步 。 

随 着 操作 系统 重要 性 的 日 渐 褪色 ， 真 正 发 挥 总 用 的 组 件 将 会 是 
云 、 浏 览 器 、API、 用 户 的 眼睛 、 全 球 网 络 ， 以 及 网 络 中 使 用 的 优雅 
而 且 非 党 灵活 的 协议 系统 : TCP/IP. 


23.5 小 结 


云 计 算 使 用 虚拟 化 、 高 带宽 的 连接 ， 以 及 现代 数据 中 心 的 威力 ， 
来 在 Internet 上 提供 应 用 程序 的 处 理 和 复杂 的 服务 ， 而 且 其 细节 是 对 
用 户 来 说 是 看 不 见 的 。 本 章 讲解 了 一 些 流行 的 用 户 云 服务 (比如 
Google 的 应 用 程序 ) ， 以 及 基于 云 的 存储 和 备份 工具 。 此 外 ， 还 讲解 
了 实验 中 的 云 服 务 (SHE) 。 本 章 还 讨论 了 IT 云 服务 模型 ， 比 
如 弹性 云 和 “服务 即 平台 ”模型 。 


23.6 ASS 


问 : 主机 系统 和 客户 系统 的 区 别 是 什么 ? 

答 : 在 虚拟 化 环境 中 ， 客 户 系统 是 一 台 作 为 一 个 进程 运行 在 另外 
一 台 计 算 机 上 行 的 虚拟 计算 机 。 主 机 系统 是 基于 硬件 的 计算 机 ， 它 用 
于 执行 虚拟 系统 。 

问 : 传统 的 web 主 机 托管 和 虚拟 主机 托管 的 区 别 是 什么 ? 

答 : 在 传统 的 Web 主 机 托管 场景 中 ， 客 户 将 HTML 页 面 和 相关 的 
文件 上 载 到 主机 托管 提供 商 ， 然 后 由 提供 商 来 管理 服务 器 系统 。 在 虚 
拟 主机 托管 场景 中 ， 主 机 托管 提供 商 为 客户 提供 的 是 一 个 完全 虚拟 的 
系统 。 


23.7 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


23.7.1 问题 

1. 为 什么 SaaS 在 移动 时 代 开 始 流行 起 来 ? 

2. 我 有 个 朋友 目前 正在 立 陶 匈 毒 箭 ， 他 想 直接 使 用 我 的 家 用 打印 
机 来 打印 他 的 假期 照片 ， 这 可 行 么 ? 

3. 我 们 公司 的 网 站 流量 有 时 会 超出 我 们 本 地 服务 器 农场 的 容量 ， 
我 应 该 是 使 用 一 个 弹性 云 解决 方案 呢 ， 还 是 使 用 PaaS 呢 ? 

A. 在 我 们 的 本 地 系统 中 持续 运行 的 一 个 大 规模 Java 应 用 程序 占用 
了 大 部 分 的 处 理 空间 。 我 应 该 使 用 哪 种 云 技术 来 解决 这 个 问题 呢 ? 


23.7.2 练习 


为 了 对 SaaS 先 睹 为 快 ， 我 们 尝试 一 个 流行 的 SaaS 工 具 集 ， 它 的 名 
字 是 Google Docs。 在 浏览 器 中 输入 地 址 : http://docs.google.como 

在 Google Docs 的 站 点 上 ， 单 击 Try Google Docs Now 按 钮 。 Google 
Docs 演 示 站 点 进入 到 字 处 理 程序 中 。 单 击 顶 部 菜单 栏 中 的 Spreadsheet 
或 Drawing 按 钮 ， 来 试用 一 下 电子 表格 和 绘图 工具 。 单 击 右 上 角 的 Get 
Started 按 钮 ， 创 建 目 己 的 Google Docs 账 户 。 


23.8 关键 术语 


复习 下 列 关键 术语 : 

> 云 计算 : 一 组 用 来 提供 在 线 服 务 的 宽泛 技术 ， 而 且 所 提供 的 在 
线 服 务 可 以 最 大 程度 地 降低 用 尸 端 的 复杂 度 。 

> 数据 中 心 : 用 户 在 线 数据 存储 的 一 个 大 型 设施 。 在 云 计 算 产 业 
中 ， 现 代数 据 中 心 是 一 个 重要 的 组 件 。 

> 弹性 云 : 一 个 云 服务 ， 可 以 根据 不 断 变 化 的 需求 提供 可 以 轻易 
扩展 的 处 理 能 力 。 

> 客户 系统 : 作为 另外 一 台 计 算 机 内 的 一 个 进程 来 运行 的 虚拟 系 
统 。 

> 主机 系统 : 一 台 物 理 的 基于 硬件 的 计算 机 ， 用 来 充当 虚拟 客户 
系统 的 主机 。 

> 平台 即 服务 (Paas) : 将 用 户 的 应 用 程序 以 基于 云 的 形式 来 
执行 的 一 种 服务 。 

> 软件 即 服务 (SaaS) ; 一 组 在 线 工 具 ， 而 且 它 提供 的 服务 与 
普通 的 桌面 应 用 程序 相似 。 

> 虚拟 化 : 在 一 台 计算 机 内 重新 创建 真实 世界 中 的 对 象 或 进程 的 
行为 。 


24 现 一 个 TCP/IP 网 络 : A 命 


本 章 介绍 如 下 内 容 : 

> 运转 中 的 TCP/TP ; 

网 络 管理 员 的 生活 。 

本 书 前 面 的 章节 介绍 了 很 多 构成 TCP/IP 网 络 的 重要 组 件 。 在 本 章 
中 ， 你 将 在 真实 情景 中 (尽管 是 假设 的 ) 观察 这 些 组 件 。 学 完 本 章 
后 ， 你 将 能 够 叙述 TCP/P 网 络 的 各 个 组 件 是 如 何 相互 作用 的 。 


24.1 Hypothetical 公 司 简 史 


Hypothetical 公 司 是 一 家 大 型 公司 。 该 公司 白手 起 家 ， 并 多 次 夸大 
ABT ee Se ( 即 白手 起 家 ) 。 自 从 1987 年 成 立 以 来 ，Hypothetical 公 
司 一 直 致 力 于 假想 (hypothetical) 的 生产 和 销售 。 该 公司 的 宗旨 是 : 

不 管 购买 者 愿意 出 什么 价 ， 随 时 创造 和 销售 最 佳 的 假想 。 

为 了 顺应 经 济 发 展 的 趋势 ，Hypothetical 公 司 也 于 近期 开始 转型 ， 
目前 该 公司 的 战略 焦点 是 对 其 自身 进行 调整 ， 使 得 假想 被 认为 是 一 种 
服务 ， 而 不 是 一 个 产品 。 这 个 从 表面 上 看 来 无 伤 大 雅 的 改变 ， 已 经 在 
执行 方面 产生 了 严厉 而 偏激 的 度量 标准 ， 而 且 那 些 度量 标准 的 混乱 结 
果 ， 已 经 导致 员工 士气 低下 ， 并 且 增 长 了 对 小 型 商业 物质 的 偷 穷 。 

一 个 由 总 裁 、 副 总 裁 、 业 务 主管 和 总 裁 的 侄子 (他 在 邮件 室 工 
fF) 组 成 的 士气 委员 会 分 析 了 不 满 的 状态 ， 并 且 赞 成 该 公司 长 期 以 来 
拒绝 计算 机 的 政策 必须 终止 (该 公司 的 官方 格言 是 :“ 在 石器 时 代 ， 就 
可 以 得 到 我 在 商业 上 取得 成 功 所 需 的 一 切 。” 那 个 拒绝 计算 机 的 政策 是 
其 自然 结果 ， 但 即使 是 在 假想 行业 这 个 不 冷 不 热 的 穷 乡 个 壤 内 ， 该 政 
策 仍 被 认为 是 时 代 性 的 错误 ) o 

该 委员 会 成 员 (其 中 一 些 人 是 在 公共 部 门 内 获得 其 技能 的 ) 投票 
决定 ， 了 立即 以 一 个 批量 折扣 价 ， 购 买 1000 台 不 同型 号 的 计算 机 ， 并 设 
想 系统 或 硬件 的 所 有 差异 稍 后 都 会 得 到 解决 。 

他 们 把 那 1000 台 计算 机 放置 在 该 公司 分 散 的 房间 和 董事 会 会 议 室 
内 的 办 公 旨 及 工作 台 上 ， 并 使 用 能 够 适合 那些 不 同型 号 适配器 端口 的 
任何 数据 传输 介质 ， 把 它们 连接 在 一 起 。 令 他 们 吃惊 的 是 ， 所 组 成 网 
络 的 性 能 并 不 在 可 接受 的 范围 之 内 。 实 际 上 ， 这 个 网 络 根 本 不 满足 要 
求 ， 于 是 该 公司 开始 找 人 来 修复 该 问题 ， 否 则 将 整个 惨败 承担 责任 。 


NA 


24.2 Maurice 生 命中 的 7 天 


Maurice 始终 坚信 他 会 找到 一 份 工作 。 在 很 小 的 时 候 ， 他 就 已 经 
会 改编 他 的 “糖果 运动 边 唱 边 踩 脚 ”(《Candy Kinetic Sing-and-Stomp) # 
蹈 垫 来 演奏 德 沃 夏 克 的 新 世界 交响 曲 ， 而 且 从 那 时 起 ， 他 便 已 经 在 完 
成 计算 机 领域 不 可 能 之 事 方面 显示 出 非凡 的 才能 。 但 是 ， 他 实际 上 并 
没有 想到 ， 在 毕业 后 这 么 快 就 会 找到 一 份 工作 。 他 当然 没有 预料 到 ， 
在 他 停 下 来 想 要 借用 厕所 而 随意 选择 的 公司 办 公 室 里 ， 会 碰 到 一 次 面 
试 。 虽 然 ， 如 果 有 后 知之 明 的 话 ， 他 当时 应 该 认识 到 ， 这 可 不 是 一 个 
有 上 升 趋势 的 工作 ， 但 是 他 太 年 轻 了 ， 以 至 于 轻率 地 接受 了 担任 
Hypothetical 公 司 网 络 管理 员 的 工作 。 他 告诉 那些 会 见 者 ， 他 根本 没有 
经 验 ， 但 是 他 们 似乎 并 不 介意 ， 并 且说 ， 他 缺少 经 验 正好 ， 因 为 那样 
他 们 就 可 以 少 付 一 些 薪水 给 他 了 。 他 们 没有 请 他 出 去 ， 反 而 立刻 把 一 
张 W-4 表 放 在 他 面前 ， 并 递 给 他 一 支 笔 〈 译 者 注 : 当 一 个 人 开始 在 美 
国 工 作 时 ， 他 需要 填写 WwW-4 表 ， 其 中 包括 姓名 、 社 会 安全 号 码 及 被 抚 
养 人 数 ， 在 发 工资 时 ， 会 根据 申报 的 被 抚养 人 数 确 定 要 扣除 的 税 款 ， 
工资 里 还 需 扣 除 社会 安全 基金 和 医疗 保险 等 ) 。 

当然 ， 他 还 购买 了 本 书 。 通 过 学 习 本 书 ， 他 对 TCP/IP 有 了 一 个 全 
面 的 认识 。 

第 一 天 : 开工 

当 Maurice 第 一 天 来 上 班 时 ， 他 就 知道 ， 他 的 首要 目标 肯定 就 是 要 
把 所 有 那些 计算 机 连接 到 网 络 上 。 一 份 快捷 的 产品 清单 显示 ， 那 些 计 
算 机 包括 一 些 DOS 和 Windows 机 器 、 一 些 Linux 计 算 机 、 一 些 苹 果 机 、 

台 UNIX 机 器 以 及 其 他 一 些 他 甚至 不 认识 的 计算 机 。 

由 于 这 个 网 络 应 该 是 在 Internet 上 的 (士气 委员 会 的 几 项 士气 提 
升 措施 需要 访问 不 知名 的 娱乐 网 站 ) ，Maurice 知 道 该 网 络 将 需要 使 用 
TCP/IP。 他 执行 了 一 次 快速 检查 ， 来 看 网 络 上 的 计算 机 是 否 已 经 运行 


了 TCP/IP。 例 如 ， 他 在 Windows 计 算 机 上 使 用 IPConfig 工 具 来 输出 
TCP/IP 参 数 。 在 UNIX 和 Linux 机 器 上 ， 他 使 用 的 是 ifconfig 命 令 。 

在 大 多 数 情况 下 ， 他 发 现 TCP/IP 确 实在 运行 着 ， 但 是 令 他 惊讶 的 
是 ， 他 发 现 IP 地 址 的 分 配 完全 是 混乱 的 。 那 些 地 址 似乎 是 随机 选择 
的 。 没 有 哪 两 个 地 址 有 任何 相似 的 、 可 能 已 经 用 作 网 络 ID 的 位 数 。 
每 一 台 计 算 机 都 认为 自己 是 在 一 个 单独 的 网 络 上 ， 而 且 由 于 没有 为 任 
何 一 台 计 算 机 指定 默认 网 关 ， 该 网 络 之 内 和 之 外 的 通信 都 非常 受 限 
制 。Maurice 问 他 的 主管 人 《在 邮件 室 工作 的 总 裁 侄 子 ) ， 是 否 已 经 
为 该 网 络 指定 了 某 个 Internet 网 络 ID。Maurice 猜 想 ， 该 网 络 一 定 有 某 个 
预先 指定 的 网 络 ID ， 因 为 该 公司 有 一 个 到 Internet 的 固定 连接 。 但 是 总 
裁 侄 子 说 ， 他 不 知道 什么 是 网 络 ID。 

Maurice 问 总 裁 的 侄子 ， 那 些 因为 卖 给 他 们 这 1000 台 计算 机 而 获 利 
的 零售 商 们 ， 是 否 配置 过 这 些 计算 机 中 的 某 一 台 。 总 裁 的 侄子 说 ， 他 
们 在 争论 着 合同 而 突然 离开 办 公 室 之 前 ， 配 置 了 一 台 计 算 机 。 总 裁 的 
侄子 将 Maurice 带 到 那 台 获 利 零售 商 们 已 经 配置 过 的 计算 机 前 。 它 有 两 
根 计算 机 电缆 接 出 来 : 一 根 到 公司 网 络 ， 一 根 到 Internet。 

“一 个 多 宿主 系统 ，”Maurice 说 。 总 裁 的 侄子 似乎 没有 特别 在 意 。 
“这 人 台 计 算 机 可 以 充当 网 关 ，”Maurice 告 诉 他 ,“ 它 可 以 把 信息 路 由 到 
Internet， 直 到 我 们 购买 了 新 的 专用 设备 来 取代 它 。” 

总 裁 的 侄子 看 上 去 不 是 很 有 耐心 ， 希 望 立即 切换 到 一 个 他 而 不 是 
Maurice 掌 握 更 多 知识 的 话题 。 那 台 计 算 机 好 像 是 一 个 过 去 的 Windows 
NT 系统 。Maurice 考 虑 是 否 告诉 总 裁 的 侄子 ， 他 从 未 听 说 过 有 人 使 用 
一 台 多 宿主 的 windows NT 计算 机 作为 某 个 公司 网 关 ， 许 多 专家 都 把 这 
种 事 称 作 是 “真正 歼 衍 的 配置 >”。 如 果 当 时 购买 了 一 台 网 天 路 由 器 ， 结 
果 就 会 比较 好 。 但 是 ， 这 是 他 第 一 天 工作 ， 因 此 没有 提出 自己 的 建 
议 。 计 算 机 毕竟 是 可 以 充当 路 由 器 的 ， 只 要 它 被 配置 为 用 于 IP 转 发 。 
一 根 以 太 网 电缆 从 那 台 网 关 计算 机 引 向 网 络 的 其 余部 分 。Maurice 对 此 


计算 机 快速 执行 了 一 下 IPConfig， 获 得 了 其 以 太 网 适配器 的 IP 地 址 。 
他 预感 ， 获 利 零售 商 应 当 在 溜 走 之 前 ， 已 经 在 这 人 台 计 算 机 中 配置 了 正 
确 的 网 络 ID。 这 里 的 IP 地 址 是 198.100.145.1。 

根据 那个 点 分 十 进 制 地 址 的 第 一 个 数字 (198) ，Maurice 知 道 这 
是 一 个 C 类 网 络 。 在 C 类 网 络 上 ， 前 3 个 字 节 构 成 网 络 ID。 “这 里 的 网 络 
ID 是 198.100.145.0，” 他 告诉 总 裁 的 侄子 。 他 还 检查 了 TCP/PP 配 置 ， 以 
确保 IP 转 发 功能 已 经 启用 。 

Maurice 想 到 ， 根 据 C 类 地 址 空间 中 的 可 用 主机 ID， 该 网 络 将 只 能 
支持 254 台 计算 机 。 但 是 他 推断 ， 那 可 能 不 会 是 什么 问题 ， 因 为 反正 许 
多 用 户 都 并 不 想 要 他 们 的 计算 机 ， 因 此 不 太 可 能 会 有 超过 254 名 用 户 同 
时 在 某 一 时 刻 访问 该 网 络 。 他 为 士气 委员 会 成 员 这 样 配 置 IP 地 址 : 

198.100.145.10 (总 裁 ) 

198.100.145.3 ( 副 总 裁 ) 

198.100.145.8 (业务 主管 ) 

198.100.145.5 (总 裁 的 侄子 ) 

他 接着 为 其 他 计算 机 配置 了 主机 ID。 他 还 输入 那 台 网 关 计 算 机 的 
地 址 (198.100.145.1) 作为 默认 网 关 ， 从 而 信息 和 请 求 可 以 被 路 由 到 
公司 网 络 之 外 。 对 于 每 一 个 了 地 址 ， 他 都 使 用 了 C 类 网 络 的 标准 网 络 
掩 码 : 255.255.255.0。 而 且 C 类 网 络 的 这 24 个 网 络 位 在 无 类 域 间 路 由 

(CIDR) 地 址 模式 中 会 以 198.100.145.0/24 的 形式 出 现 。 

Maurice 使 用 ping 工 具 测 试 该 网 络 。 在 每 一 台 计 算 机 上 ， 他 都 输入 
ping 和 网 络 上 另 一 台 计 算 机 的 地 址 。 例 如 ， 在 计算 机 198.100.145.155 
上 ， 他 输入 ping 198.100.145.5， 以 确保 这 人 台 计 算 机 的 用 户 能 够 与 总 裁 
的 侄子 通信 。 同 时 ， 作 为 好 习惯 ， 他 还 总 是 ping 这 里 的 默认 网 关 : 

ping 198.100.145.1 

对 于 每 一 次 ping， 他 都 接收 来 自 目的 计算 机 的 应 答 ， 确 保 连 接 能 
够 正常 工作 。 


Maurice 当时 想 ， 这 个 网 络 的 配置 根本 不 需要 一 天 时 间 ， 并 且 他 
感觉 这 将 是 一 份 轻而易举 而 且 有 利 可 图 的 工作 ， 但 是 没 想到 ， 他 配置 
的 最 后 一 台 计 算 机 竟然 无 法 ping 通 网 络 上 的 其 他 计算 机 。 在 一 番 仔 细 
探究 之 后 ， 他 注意 到 该 计算 机 好 像 属 于 一 个 完全 不 同类 型 的 物理 网 
络 。 有 人 曾经 试图 通过 在 那个 过 时 的 无 名 网 络 适 配器 的 端口 中 插入 一 
根 10BASE-2 以 太 网 电缆 ， 来 将 它 与 网 络 的 其 余部 分 连接 起 来 。 而 在 那 
根 电缆 不 合适 时 ， 那 家 伙 使 用 一 颗 钉 子 跳 线 ， 并 且 用 了 特别 多 的 布 基 
胶带 把 整个 组 装 部 件 缠 起 来 ， 使 得 它 看 上 去 好 像 是 在 “阿波 罗 13” 上 使 
用 过 的 东西 似 的 。 

“明天 再 说 ，”Maurice 说 。 

第 二 天 : 分 段 

第 二 天 Maurice 来 上 班 时 ， 他 带 来 了 自己 将 会 用 到 的 东西 : 路 由 
器 。 而 尽管 他 提前 到 了 ， 但 是 仍然 有 许多 用 户 已 经 不 能 忍受 他 了 。 “这 
个 网 络 到 底 出 了 什么 事 ? ”他 们 说 , “这 实在 是 太 慢 了 1! > 

Maurice 告诉 他 们 ， 他 还 没有 完成 。 网 络 可 以 使 用 了 ， 但 是 大 量 
设备 都 直接 抢 着 使 用 传输 介质 ， 就 使 得 速度 非常 慢 。 而 且 ， 一 些 针 对 
不 同 网 络 架构 配置 的 计算 机 (例如 前 一 天 最 后 他 发 现 的 那 台 计算 机 ) 
无 法 直接 与 其 他 计算 机 进行 通信 。Maurice 在 关键 位 置 安装 了 一 些 路 
由 器 ， 从 而 它们 可 以 减少 网 络 流量 ， 以 及 把 不 同 物理 架构 的 网 络 元 素 
整合 在 一 起 。 当 然 ， 他 必须 找到 一 台 路 由 器 支持 前 面 所 说 的 那个 过 时 
的 架构 ， 但 是 这 并 不 困难 ， 因 为 Maurice 有 许多 接线 。 

Maurice 还 知道 ， 划 分 一 些 子 网 会 比较 适宜 。 他 决定 把 C 类 网 络 ID 
之 后 的 那 最 后 8 位 分 开 ， 从 而 可 以 使 用 3 位 作为 子 网 号 ， 其 余 5 位 作为 那 
些 子 网 上 的 主机 ID。 

为 确定 子 网 掩 码 ， 他 写 出 一 个 8 位 二 进 制 数 《表示 那 最 后 八 位 字 
节 ) ， 前 3 位 ( 子 网 位 ) 为 1， 其 余 位 (主机 位 ) 为 0: 

11100000 


因此 ， 子 网 掩 码 的 最 后 八 位 字 节 是 32+64+128 或 224， 从 而 完整 的 
子 网 掩 码 为 255.255. 255.224。 

Maurice 为 他 新 划分 的 网 络 添 加 新 的 子 网 掩 码 ， 并 相应 地 分 配 IP 地 
址 。 他 在 分 配 IP 地 址 时 ， 注 意 为 某 一 段 上 的 所 有 计算 机 分 配 相 同 的 3 个 
子 网 位 。 他 还 更 改 了 许多 计算 机 上 的 默认 网 关 值 ， 因 为 最 初 的 网 关 不 
再 位 于 相应 的 子 网 上 。 对 于 连接 到 某 个 路 由 器 端口 的 子 网 上 的 计算 
机 ， 他 转 而 使 用 该 路 由 器 端口 的 了 了 地址 作为 默认 网 关 。 

通过 这 个 掩 码 ， 他 可 以 很 容易 地 发 现 ， 地 址 的 网 络 部 分 和 子 网 部 
分 是 8+8+8+3=27 位 ， 也 就 是 CIDR 的 前 缀 是 /27。 子 网 范围 的 3 位 提供 
了 8 种 可 能 的 位 组 合 。 尽 管 有 些 路 由 器 支持 全 0 和 全 1 的 子 网 位 ， 但 是 一 
般 不 建议 使 用 。 在 CIDR 表 示 法 中 ， 子 网 是 由 地 址 沁 围 中 处 于 最 右 侧 的 
八 位 字 节 来 确定 的 ， 而 且 后 面 跟 着 CIDR 前 级 /27。 他 通过 改变 最 后 一 
个 八 位 字 节 中 的 3 个 子 网 位 确定 了 最 低 的 地 址 ， 如 下 所 示 : 

位 值 子 网 

00100000 32 198.100.145.32/27 

01000000 64 198.100.145.64/27 

01100000 96  198.100.145.96/27 

10000000 128 198.100.145.128/27 

10100000 160 198.100.145.160/27 

11000000 192 198.100.145.192/27 

Maurice 为 分 段 后 的 子 网 添加 了 子 网 掩 码 ， 并 分 派 了 IP 地 址 。 在 所 
分 派 的 IP 地 址 中 ， 其 中 的 3 个 子 网 位 在 处 于 同一 子 网 中 的 所 有 计算 机 
上 ， 是 相同 的 。 他 还 改变 了 许多 计算 机 上 的 默认 网 关 值 ， 原 始 因 为 最 
初 的 网 关 已 经 不 在 子 网 上 。 他 使 用 一 个 路 由 器 端口 (该 端口 与 子 网 连 
接 ) 的 IP 地 址 作为 子 网 中 计算 机 的 默认 网 关 。 

第 三 天 : 动态 地 址 


网 络 现在 运行 得 很 好 ，Maurice 也 因此 而 获得 了 很 好 的 名 声 。 有 
人 甚至 建议 他 作 士气 委员 会 候选 人 。 然 而 ， 那 个 总 裁 的 侄子 对 此 观点 
持 有 异议 。 他 说 ，Maurice 不 适合 士气 委员 会 或 任何 委员 会 ， 因 为 到 
目前 为 止 ， 他 尚未 达到 他 的 工作 目标 。 士 气 委 员 会 明确 规定 ， 该 公司 
网 络 应 该 有 1000 台 计算 机 ， 而 迄今 为 止 ，Maurice 给 了 他 们 一 个 只 有 
256 台 计算 机 的 网 络 。“ 如 果 士 气 委员 会 的 指示 被 忽视 ， 我 们 如 何 能 够 
指望 士气 会 改善 呢 ? ”他 补充 道 。 

注意 : 更 少 的 地 址 

实际 上 ， 在 第 二 天 进行 的 子 网 划分 增 增 加 了 不 可 用 地 址 的 数量 。 
现在 网 络 只 有 245 个 地 址 。 在 子 网 肉 ， 实 际 可 用 的 地 址 数量 不 是 不 是 
2n， 而 是 (2n-2) ， 其 中 n 是 地 址 中 的 主机 ID 位 数 。Maurice 觉 得 没 
必要 把 这 个 事实 告诉 总 裁 的 侄子 。 

但 是 ，Maurice 如 何 能 够 使 用 少 于 254 个 的 主机 ID， 让 1000 台 计算 
机 访问 Internet 呢 ? 他 的 第 一 步 是 向 总 裁 的 侄子 指出 ， 如 果 想 让 10008 
计算 机 同时 出 现在 网 络 上 ， 则 会 让 充当 Internet 网 关 的 多 宿主 Windows 
NT 系统 因为 无 法 承受 其 负担 而 朋 冲 。 因 此 总 裁 的 侄子 被 迫 将 该 缺陷 报 
告 给 了 士气 委员 会 ， 而 且 会 上 一 致 同意 购买 一 台 最 先进 的 路 由 器 /网 关 
设备 。 他 们 通过 减少 食堂 里 的 沙拉 的 分 量 ， 而 同时 保持 其 价格 不 变 的 
情况 下 ， 筹 足 了 购买 设备 的 费用 。 

这 台新 买 的 路 由 器 通过 DHCP 提 供 了 动态 IP 地 址 的 分 配 功能 。 而 
且 该 设备 还 具有 NAT 功 能 ， 这 意味 着 Maurice 可 以 对 网 络 进行 设置 ， 使 
其 使 用 私有 的 、 不 可 路 由 的 地 址 空间 ， 这 样 他 就 可 以 搞定 1000 Git 
算 机 的 地 址 了 。 他 对 DHCP 服务 器 进行 了 配置 ， 使 其 提供 从 10.0.0.0~~ 
10.255.255.255 私 有 地 址 范围 之 内 的 地 址 。 对 去 往 Intemet 的 流量 ， 路 由 
器 会 将 其 私有 地 址 转换 为 上 面 提 到 的 可 以 在 Internet 上 使 用 的 真实 地 址 

(该 地 址 由 Internet 服 务 提供 商 来 提供 ) 。 


将 路 由 器 配置 为 DHCP 服 务 器 比较 容易 ， 至 少 对 于 Maurice 来 说 是 
如 此 ， 因 为 他 仔细 阅读 了 有 关 文 档 ， 而 且 不 惧 于 在 Web 上 寻求 帮助 
(他 需要 确认 的 是 ， 他 在 第 二 天 安装 并 配置 的 内 部 路 由 器 能 够 传递 
DHCP 信 息 ) 。 这 里 的 困难 部 分 是 ， 手 动 配置 那 1000 台 计算 机 中 的 每 
一 台 ， 以 访问 DHCP 服 务 器 ， 并 且 动 态 地 接收 IP 地 址 。 要 想 在 一 天 8 小 
时 内 配置 这 1000 计 算 机 ， 他 必须 每 小 时 配置 125 台 计算 机 ， 或 者 是 每 分 
钟 两 台 多 一 点 。 这 对 任何 人 来 说 ， 几 乎 是 不 可 能 的 ， 但 是 Maurice 除 
外 。 他 赶 在 下 午 6 点 的 公共 汽车 到 来 之 前 及 时 完成 了 。 

BOR: 域名 解析 

Maurice 意 识 到 ， 他 为 此 网 络 草率 进行 的 动态 地 址 分 配 配 置 ， 留 下 
了 一 些 未 解决 的 冲突 。 除 了 Hypothetical 公 司 外 ， 其 他 任何 公司 都 不 会 
出 现 这 些 冲 突 ， 它 们 实际 存在 而 且 十 分 严重 。 

公司 总 裁 私下 告知 Maurice， 他 期 望 自 己 (公司 中 级 别 最 高 的 官 
员 ) 的 计算 机 能 拥有 在 数字 上 最 低 的 IP 地 址 。Maurice 从 来 没有 听 说 过 
这 样 的 要 求 ， 而 且 在 他 的 所 有 资料 中 都 无 法 找到 参考 ， 但 是 他 向 总 裁 
保证 ， 这 不 会 是 什么 问题 。 他 简单 得 将 总 裁 的 计算 机 配置 为 使 用 静态 
IP 地 址 10.10.0.2， 并 且 将 把 总 裁 的 地 址 排除 在 DHCP 服 务 器 分 配 的 地 
址 范围 之 外 。Maurice 补 充 道 ， 他 希望 总 裁 能 够 理解 ， 不 乱 动 网 关 路 由 
器 内 部 接口 配置 的 重要 性 ， 该 网 关 路 由 器 具有 更 低 的 地 址 : 10.0.0.1 
(实际 上 ，Maurice 可 以 将 该 地 址 修改 为 更 高 的 地 址 ， 但 是 他 不 想 这 
AÑO 。 总 裁 说 ， 他 不 会 介意 是 否 有 计算 机 拥有 更 低 的 IP 地 址 ， 只 要 
该 计算 机 不 属于 别 的 员工 就 行 。 他 只 是 不 希望 有 人 拥有 比 他 的 地 址 更 
低 的 IP 地 址 。 

对 于 没有 其 他 高 层 管理 人 员 在 这 种 可 悲 的 虚 菏 心 之 梯 上 要 求 其 各 
自 位 置 的 网 络 ，Maurice 和 总 裁 之 间 的 商定 将 不 会 对 它 的 进一步 发 展 造 
成 任何 阻碍 。 给 副 总 裁 和 业务 主管 分 配 较 低 的 IP 地 址 也 很 容易 ， 但 是 
一 群 中 层 管 理 人 员 (没有 人 比 其 他 人 更 高 或 更 低 ) 开始 争吵 谁 的 计算 


机 将 是 10.10.0.33， 谁 的 将 是 10.10.0.34。 最 后 ， 该 管理 班子 被 迫 转 移 到 
一 家 网 球 休养 所 ， 在 那里 ， 他 们 解决 了 相互 之 间 的 问题 ， 并 且 以 友爱 
开始 每 一 场 比赛 。 

在 此 期 间 ，Maurice 实 施 了 一 项 他 知道 他 们 会 接受 的 解决 方案 。 他 
架 起 一 台 DNS 服 务 器 ， 从 而 每 一 台 计 算 机 都 可 以 通过 名 称 而 不 是 地 址 
进行 识别 。 每 一 名 管理 人 员 都 有 机 会 为 其 各 自 的 计算 机 选择 主机 名 。 
于 是 ， 身 份 的 度量 标准 将 不 再 是 谁 拥 有 在 数字 上 最 低 的 计算 机 地 址 ， 
而 是 谁 拥 有 最 新 里 的 主机 名 。 中 层 管 理 人 员 主 机 名 的 一 些 示例 包括 : 

” Gregor 

> wempy 

> righteous_babe (正义 宝贝 ) 

> Raskolnikov ( 拉 斯 柯 尔 尼 科 夫 ，《 罪 与 罚 》 的 主人 公 ) 

DNS 服 务 器 的 出 现 ， 还 使 该 公司 离 
访问 ， 更 近 了 一 步 。 这 台 DNS 服 务 器 (通过 其 与 其 他 DNS 服 务 器 的 连 
接 ) 使 得 该 公司 能 够 完全 访问 Intermet 主 机 和 名， 例如 在 Internet URLA 
使 用 的 那些 。 

Maurice 还 人 花 几 分 钟 申请 了 一 个 域名 ， 从 而 使 得 该 公司 有 朝 一 日 
将 能 够 在 万 维 网 上 通过 其 自己 的 网 页 销售 它 的 假想 。 

FAR: 防火 墙 

尽管 最 近 取 得 了 那么 多 联网 成 果 ， 但 是 该 公司 的 士气 仍然 很 低 。 

员工 们 就 像 去 看 电影 的 人 因 影 片 糟糕 而 退场 似 的， 快速 地 辞职 和 离 
开 。 这 些 员工 中 的 许多 人 都 知道 公司 网 络 的 秘密 ， 因 此 管理 人 员 担 心 
那些 心怀 不 满 的 人 ， 可 能 会 采取 网 络 破坏 行为 作为 某 种 报复 。 管理 人 
员 要 求 Maurice 实 施 某 项 计划 ， 使 得 网 络 资源 得 到 保护 ， 但 是 网 络 用 户 
仍 可 以 尽 可 能 完全 地 访问 本 地 网 络 以 及 Internet。Maurice 问 预算 情况 ， 
而 他 们 告诉 他 ， 他 可 以 从 咖啡 机 旁 的 罐子 里 拿 点 零钱 。 


ron 


Maurice 卖 掉 了 那 1000 台 计算 机 中 的 大 约 50 台 ， 并 使 用 所 得 的 钱 款 
购买 了 一 个 商业 防火 墙 系统 ， 它 将 保护 该 公司 网 络 免 受 外 部 攻击 (AR 
50 台 计算 机 完全 没有 使 用 过 ， 而 且 一 直 阻 塞 着 通 向 服务 入 口 的 走廊 。 
大 楼 管理 员 至 少 有 6 次 想 要 扔 掉 它 们 了 ) 。 该 防火 墙 提供 许多 安全 特 
性 ， 但 是 最 重要 的 一 个 特性 是 ， 它 允许 Maurice 封 闭 TCP 和 和 UDP 端口 ， 
以 阻止 外 部 用 户 访问 内 部 网 络 上 的 服务 。Maurice 关 掉 了 所 有 非 必 要 的 
端口 。 他 保持 TCP 端 口 21 为 打开 状态 ， 它 提供 对 FTP 的 访问 ， 因 为 在 
Hypothetical 公 司 中 ， 信 息 通 常 以 大 型 纸 质 文档 方式 分 发 ， 对 此 ，FTP 
是 一 种 理想 的 传递 形式 。Maurice 仔 细 配 置 了 该 防火 墙 ， 从 而 端口 21 的 
FTP 访 问 只 被 授权 用 于 连接 到 一 台 保 护 恨 好 的 FTP 服 务 器 计算 机 。 

第 六 天 : Web 服 务 

这 个 网 络 终于 既 安全 又 组 织 恨 好 了 。 士气 委员 会 决定 利用 这 一 新 
建立 的 连通 性 ， 暗 中 监视 其 员工 ， 以 对 生产 率 有 所 了 解 。 出 乎 他 们 意 
料 的 是 ， 他 们 确定 实际 上 没有 人 做 事 。 对 于 新 订单 的 处 理 远 远 落 在 后 
面 ， 因 为 该 公司 没有 自动 化 手段 记录 、 登 记 和 处 理 新 的 假想 订单 。 访 
问 者 应 该 通过 FTP 下 载 新 的 假想 。 该 服务 器 上 的 一 则 公告 指示 客户 向 
公司 总 部 发 送 付款 ， 而 在 那里 ， 每 一 个 信封 都 被 吸烟 室 里 的 志愿 者 们 ] 
小 心地 打开 和 检查 了 。 

Maurice 在 上 述 防 火 墙 之 前 放置 了 一 台 Web 服 务 器 ， 并 配置 它 使 得 
客户 可 以 通过 HTML 表 单 来 进行 订购 。 在 此 web 服务 器 的 前 面 ， 他 还 
放置 了 另 一 个 防火 墙 ， 为 该 服务 器 和 其 他 接 入 Internet 的 计算 机 创建 了 
一 个 DMZ ( 非 军事 区 ) 。 他 在 内 部 网 络 上 配置 了 另 一 台 Web 服 务 器 ， 
并 设计 了 一 个 Web 服 务 应 用 程序 来 处 理 订 单 和 跟踪 库存 。 每 一 名 员工 
桌面 上 的 一 个 小 型 客户 端 应 用 程序 ， 通 过 以 XML 格式 交换 SOAP 消 
息 ， 与 该 服务 器 进行 通信 。 外 面 的 那 台 Web 服 务 器 (通过 一 个 安全 的 
连接 与 那 台 内 部 服务 器 相连 ) ， 往 里 传递 来 自 Web 的 订单 。 该 服务 器 


被 连接 到 一 个 跟踪 客户 交易 的 后 端 数据 库 ， 同 时 ， 一 个 信用 卡 处 理 服 
务 的 安全 连接 为 网 站 访问 者 提供 电子 商务 的 奇迹 。 

生产 率 快速 增长 ， 使 得 大 家 有 更 多 时 间 来 喝 咖啡 休息 一 下 ， 而 该 
公司 也 很 快 发 现 其 人 员 过 剩 。 会 计 组 的 3 名 成 员 几 乎 被 解 座 ， 但 是 他 们 
很 快 通过 强化 其 检查 办 公家 具 的 专业 ， 确 保 连 续 的 桌 椅 拥有 连续 的 序 
列 号 ， 来 保证 其 未 来 的 重要 性 。 

Maurice 被 授予 早 下 班 的 权利 ， 但 他 还 是 留 下 来 为 网 站 配置 一 个 性 
能 增强 的 逆向 代理 系统 。 

第 七 天 : 签名 与 VPN 

新 的 web 服务 基础 设施 给 Hypotheticals 公 司 带 来 了 史无前例 的 成 
功 ， 该 公司 突然 被 新 的 订单 所 淹没 。 本 地 服务 器 很 快 就 不 卉 重负 ， 
Maurice 约见 了 一 家 弹性 云 提供 商 ， 要 求 他 们 在 业务 高 峰 时 段 提供 额 
外 的 处 理 能 力 。 然 而 ， 由 于 订单 处 理 系 统 是 完全 自动 化 的 ， 因 此 全 体 
雇员 没有 特别 注意 到 这 一 时 来 运转 的 情况 ， 并 继续 把 营业 日 的 绝 大 部 
分 时 间 花 在 计划 其 他 会 议 的 会 议 上 。 不 过 ， 这 一 成 功 没 有 逃脱 该 公司 
竞争 对 手 的 注意 。 特 别 是 有 一 家 竞争 对 手 尤 其 关注 。 尽 管 这 家 厂商 不 
是 因 其 高 质量 或 高 效 服 务 而 驰名 ， 但 是 该 公司 通过 维持 非 瘦 低 的 开销 
(因为 其 总 部 位 于 一 辆 废弃 的 18 轮 卡车 里 ) 来 生存 。 

这 家 竞争 对 手 不 是 通过 革新 ， 而 是 以 他 们 唯一 知道 的 方式 一 一 通 
过 模仿 来 作出 反应 。 可 是 ， 这 种 模仿 超出 了 技术 的 简朴 纯净 ， 并 很 快 
寺 入 了 商标 侵权 的 黑洞 。 该 公司 开始 声称 ， 他 们 实际 上 就 是 
Hypotheticals 公 司 ， 并 开始 像 Hypotheticals 公 司 一 样 做 生意 。 由 于 交易 
发 生 在 远 端 ， 客 户 们 没有 确保 对 方 身份 的 独立 手段 。 

IGA, Maurice 已 经 准备 好 了 一 个 解决 方案 ， 由 于 公司 的 其 
他 人 都 在 喝 咖 啡 工 体 ， 所 以 他 能 够 在 最 小 限度 的 中 断 下 实施 它 。 他 与 
一 家 第 三 方 数字 认证 机 构 签订 了 一 个 协议 ， 并 建立 了 一 个 数字 认证 系 
统 ， 用 于 向 用 户 证 明 ， 与 他 们 打交道 的 是 真正 的 Hypotheticals 公 司 。 


为 了 庆祝 这 一 措施 的 成 功 ， 公 司 罕 见地 举办 了 一 次 办 公 室 聚会 ， 
Maurice 的 领导 能 力 再 次 得 到 了 大 家 的 认可 ， 并 得 到 了 上 层 领导 的 经 
济 奖励 。 在 庆祝 活动 结束 后 ， 他 被 叫 去 与 业务 主管 闭 门 会 谈 。 那 个 主 
管 问 Maurice， 联 邦 法 律 是 否 禁 止 在 Internet 上 对 体育 事件 进行 大 额 钱 款 
的 赌博 。Maurice 告 诉 他 ， 他 不 是 一 名 律师 ， 不 知道 赌博 法 律 的 细节 。 

那个 主管 转换 话题 问 ，Maurice 是 否 知道 一 种 方法 ， 通 过 它 ， 所 有 
在 Internet 之 上 的 通信 都 会 严格 得 到 保密 ， 这 样 ， 就 没有 人 能 够 发 现 他 
在 说 什么 或 者 是 在 和 谁 通信 。Maurice 告诉 他 ， 他 所 知道 的 最 佳 技术 
是 虚拟 专用 网 络 。 虚 拟 专 用 网 络 (VPN) 是 公共 线路 上 的 一 种 专用 加 
密 连 接 。VPN 提 供 的 连接 ， 其 保密 性 几乎 和 点 对 点 连接 差不多 。 

“我 立刻 需要 那样 的 一 条 线路 ，” 该 主管 边 说 ， 边 沉思 着 退回 了 他 
的 里 间 办 公 室 。 


24.3 小 结 


本 章 研 究 了 一 家 假想 公司 内 的 TCP/IP 网 络 。 读 者 得 以 从 内 部 角度 
来 查看 ， 网 络 管理 员 是 如 何 和 为 什么 实施 IP 编 址 技术 、 子 网 掩 码 技 
术 、DNS、DHCP 和 其 他 服务 的 。 

注意 : 尾声 

假如 你 正 想 知道 后 来 发 生 了 什么 .…… 

在 这 七 日 之 后 的 某 一 天 ， 联 邦 特工 来 到 公司 总 部 ， 隶 捕 了 那 名 业 
务 主管 ， 这 使 得 士气 委员 会 有 了 一 个 空位 ， 公 司 总 裁 把 该 位 置 提供 给 
了 Maurice。 


24.4 问 与 答 


问 : 为 什么 Maurice 决 定 对 网 络 进 行 子 网 划分 ? 

答 : 对 网 络 进行 子 网 划分 ， 可 以 降低 流量 。 

问 : 为 什么 Maurice 让 防火 墙 上 的 端口 21 为 打开 状态 ? 

E: 通过 打开 端口 21， 可 以 提供 对 FTP 服 务 器 的 访问 。 注 意 到 
Maurice 在 第 6 天 ， 在 防火 墙 外 部 的 DMZ 内 放置 了 一 台 Web 服 务 器 。 尽 
管 文中 没有 明确 提 到 ， 但 是 Maurice 也 有 可 能 同时 在 防火 墙 的 前 面 放 置 
了 一 台 FTP 服 务 器 。 


24.5 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 
章 知 识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 
的 概念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答 
案 ， 请 参见 附录 A。 


24.5.1 问题 


1. 为 什么 Maurice 使 用 3 位 作为 子 网 地 址 ? 

2. Maurice 在 选择 了 3 位 用 作 子 网 地 址 之 后 ， 剩 余 的 5 位 用 作 主 机 
地 址 (可 用 于 30 台 主机 一 一 32 个 可 能 的 地 址 减 去 全 0 的 地 址 和 全 1 的 地 
址 ) 。 如 果 使 用 2 位 作为 子 网 地 址 的 话 ， 那 么 可 用 的 主机 地 址 和 子 网 地 
址 分 别 是 多 少 个 呢 ? 

3. 为 什么 Maurice 使 用 了 一 台 DNS 服 务 器 ， 而 不 是 配置 主机 文件 
呢 ? 


24.5.2 Sk 


假定 Maurice 以 网 络 管理 员 身 份 开始 第 2 周 的 工作 ， 他 应 该 如 何 进 
行 如 下 配置 呢 ? 

> 网 络 监控 ; 

” VOIP ; 

> Kerberos; 

> IPv6; 

> 语义 Web。 
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复习 下 列 关键 术语 : 

> 无 类 域 见 路 由 (CIDR) : 在 无 需 参 考 IP 地 址 所 属 类 的 情况 
下 ， 就 可 以 确定 地 址 中 的 网 络 位 数 的 一 种 表示 法 。 

> 动态 主机 配置 协议 (DHCP) : 提供 动态 分 配 IP 地 址 功能 的 协 
议 。 

> DMZ: 位 于 一 台 前 端 防火 墙 的 后 面 ， 同 时 位 于 另外 一 台 用 于 
保护 内 部 网 络 的 防火 墙 (限制 更 为 严格 ) 前 面 的 一 个 中 间 区 域 ， 该 区 
域 中 放置 着 Internet 服 务 器 。 

> 域名 系统 (DNS) : 对 TCP/IP 网 络 上 的 资源 进行 命名 的 系统 。 

> 防火 墙 : 限制 网 络 对 内 部 网 络 进行 访问 的 一 个 设备 或 应 用 程 
序 。 

> 网 络 地 址 转换 (NAT) : 一 种 允许 内 部 网 络 使 用 不 可 路 由 的 私 
有 了 了 P 地 址 进行 操作 的 技术 。 通 过 该 技术 ， 可 以 将 Internet 上 的 流量 发 送 
到 内 部 网 络 ， 也 可 以 将 内 部 网 络 中 的 流量 发 送 到 Internet 上 。 

> ping: 用 来 检测 主机 之 间 连 通 性 的 一 个 诊断 工具 。 该 工具 相当 
常见 ， 以 至 于 它 经 常 作为 动词 使 用 。“ping 一 下 ”就 是 使 用 ping 工 具 来 检 
测 TCP/IP 配 置 的 连通 性 。 

> 分 段 : 使 用 路 由 器 对 物理 网 络 进行 分 割 。 

> FR: IP 地 址 空间 的 一 种 逻辑 划分 ， 它 是 用 过 TCP/IP 网 络 / 子 
网 ID 来 定义 的 。 

> 虚拟 专用 网 络 (VPN) : 穿越 公共 网 络 的 一 条 加 密 的 专用 通 


道 。 


第 1 章 
问题 
1. 网 络 协议 是 一 组 用 于 网 络 上 的 计算 机 (或 其 他 设备 ) 之 间 通 信 


的 规则 和 数据 格式 的 集合 。 


= 


1To 


2. 端点 验证 和 动态 路 由 特性 使 得 TCP/IP 可 以 在 分 散 的 环境 中 运 


3. DNS (域名 服务 ) 负责 将 域名 映射 为 IP 地址 。 
4. RFC 是 一 个 描述 某 个 Internet 标 准 的 文档 ， 或 者 是 一 个 用 于 帮助 


运行 Internet 的 工作 组 报告 。 


5. 端口 是 用 来 将 数据 路 由 到 适当 网 络 应 用 程序 的 逻辑 通道 。 
第 2 章 

问题 

1. 数据 链 路 层 和 物理 层 。 

2. 网 际 层 。 

3. UDP 更 简单 ， 而 且 速 度 更 快 ， 但 是 它 不 具备 TCP 所 具有 的 错误 


检测 和 流量 控制 功能 。 


4. 网 络 访问 层 。 
5. 在 数据 向 下 传输 到 下 一 层 之 前 ， 会 先 在 数据 中 附加 一 个 特定 层 


的 报头 。 


练习 

1. TCP/IP 协 议 栈 各 层 的 功能 如 下 。 

网 络 访问 层 : 提供 物理 硬件 的 接口 。 

网 际 层 : 为 数据 报 提 供 逻 辑 寻 址 和 路 由 。 

传输 层 : 提供 错误 检测 、 流 量 控制 和 确认 服务 。 


应 用 层 : 提供 网 络 排 错 设施 、 文 件 传输 、 远 程控 制 和 其 他 基于 网 
络 的 工具 ， 此 外 ， 它 还 提供 应 用 程序 用 来 访问 网 络 的 API。 

2. IP 和 传输 层 处 理 数据 报 。 

3. 只 有 网 络 访问 层 需要 修改 ， 栈 的 其 他 部 分 保持 不 变 。 

4.“ 可 靠 ” 意 味 着 TCP 使 用 错误 检测 和 确认 来 确保 将 每 一 个 TCP 分 
段 发 送出 去 。 

第 3 章 

问题 

1. CRC 《循环 元 余 校 验 ) 是 一 个 用 来 检验 数据 帧 中 的 数据 没有 被 
破坏 的 校 验 和 。 

2. 当 以 太 网 上 的 两 个 节点 在 同一 时 刻 开始 传输 数据 时 ， 会 发 生 冲 
突 。 当 节点 检测 到 有 冲突 发 生 时 ， 就 会 报告 发 生 了 冲突 检测 。 

3. 以 太 网 的 物理 地 址 是 48 位 。 

4. NDIS 和 ODI 提 供 了 物理 硬件 的 标准 接口 ，TCP/IP 和 其 他 连 网 协 
议 栈 可 以 以 一 种 一 致 和 统一 的 方式 ， 使 用 这 些 接口 来 访问 网 络 硬 件 。 

5. ARP 提 供 了 物理 地 址 和 逻辑 了 地址 之 间 的 链 路 。 

练习 

1. ARP 和 RARP 与 物理 地 址 和 IP 地 址 有 关 。 

2. AAW, IEEE 802.11 (WiFi) 、IEEE 802.16 (WiMax) 和 电话 
线 拨号 是 4 中 常见 的 网 络 体系 。 

3. MAC 提供 了 网 络 适配器 的 接口 。 逻 辑 链 路 控制 层 提 供 了 帧 错误 
检测 功能 ， 并 可 以 管理 子 网 中 网 络 节点 之 间 的 链 路 。 

第 4 章 

问题 

1. TIL 字段 用 于 统计 ， 在 丢弃 一 个 IP 数 据 报 之 前 ， 还 剩余 多 少 跳 
数 。 它 的 用 途 是 防止 数据 报 在 网 络 中 无 限 循环 。 

2. 网 络 ID 是 8 位 ， 主 机 ID 是 24 位 。 


3. 八 位 组 是 一 个 8 位 的 数据 片 。 如 今 通常 将 其 称 之 为 字 节 。 

4. IP 地 址 是 计算 机 或 网 络 设备 的 一 个 独立 网 络 接口 的 地 址 。 

5. ARP 用 于 将 下 地 址 映射 为 物理 地 址 。RARP 用 于 将 物理 地 址 映 
射 为 了 P 地 址 。 

第 5 章 

问题 

1. 子 网 ID 位 是 从 主机 ID 中 借 的 。 

2. 因为 子 网 划分 技术 已 经 被 纳入 到 CIDR 中 。 

3.“ 无 类 别 ” 指 的 是 不 再 使 用 传统 的 网 络 地 址 分 类 (AL BY Cy 
D) ， 而 是 使 用 CIDR 前 缀 的 事实 。 

4. 主机 ID 字段 是 6 位 ， 所 以 可 以 有 26 -2=62 台 主机 。 

5. 将 几 个 较 小 的 网 络 合并 为 一 个 较 大 的 网 络 范 围 的 技术 是 超 网 。 

练习 

1. CIDR 地 址 是 180.4.0.0/14。 

2. 子 网 ID 从 主机 ID 借 走 了 3 位 ， 主 机 ID 中 还 剩 下 5 位 。 因 此 ， 子 网 
中 可 以 存在 25 -2=30 台 主机 。 

3. 子 网 ID 是 3 位 ， 因 此 有 23 -2=6 个 可 能 的 子 网 。 有 些 厂商 支持 全 0 
和 全 1 的 子 网 ， 此 时 则 意味 有 8 个 可 能 的 子 网 。 

4. 最 低 的 主机 地 址 是 195.50.100.1。 

5. 最 高 的 主机 地 址 是 195.50.101.254。 

第 6 章 

问题 

1. TCP 端 口 25 运 行 的 是 STMP (简单 邮件 传输 协议 ) o 

2. UDP 端口 53 运 行 的 是 域名 服务 器 。 

3. TCP 是 一 个 流 协议 。 数 据 作为 字 节 流 进行 传输 ， 而 且 没 有 记录 
的 概念 ， 因 此 ， 该 问题 没有 任何 意义 。 


4. 被 动 打开 表示 应 用 程序 愿意 接受 连接 。 主 动 打开 则 是 一 个 希望 
连接 到 同一 台 主 机 或 远程 主机 上 另外 一 个 应 用 程序 的 请 求 。 

5. 采取 3 个 步骤 。 

第 7 章 

问题 

1. ping 工 具 用 来 检测 网 络 连通 性 。 

2. HITP， 超 文本 传输 协议 。 

3. POP3 (邮局 协议 版 本 3) 和 IMAP (Internet 消 息 访问 协议 ) 。 

4. DNS， 域 名 服务 器 。 

5. NIP， 网 络 时 间 协 议 。 

第 8 章 

问题 

1. 两 种 动态 路 由 的 类 型 是 距离 矢量 路 由 和 链 路 状态 路 由 。 

2. 一 台 路 由 器 至 少 需 要 2 个 接口 : 一 个 接口 连接 到 子 网 ， 另 外 一 个 
接口 连接 到 外 部 的 网 络 。 

3. BGP， 边 界 网 关 协 议 。 

4. 因为 当 网 络 使 用 超 网 技术 合并 之 后 ， 几 个 路 由 表 条 目 可 以 在 路 
由 表 中 合并 为 一 个 单一 的 条 目 。 

5. OSPF 是 链 路 状态 路 由 的 一 个 例子 。 

练习 

1. 当前 使 用 的 3 种 路 由 协议 是 RIPv2、OSPF 和 BGP。 

2. OSPF 可 以 使 用 几 个 参数 来 计算 一 条 路 由 的 开销 ， 而 RIP 只 能 使 
用 跳 数 来 计算 。 

3. 静态 路 由 很 简单 ， 而 且 也 不 需要 路 由 器 。 但 是 ， 如 果 网 络 比较 
大 时 ， 静 态 路 由 就 不 够 灵活 ， 而 且 因为 复杂 度 提 升 而 不 可 管理 ， 此 
时 ， 网 络 中 的 任何 变化 都 需要 系统 管理 员 来 处 理 。 

第 9 章 


问题 

1.PPP (点 到 点 协议 ) 是 在 在 电话 线路 上 传输 了 数据 报 的 最 常见 
协议 。 

2. 适用 于 家 庭 的 两 种 宽带 技术 是 电缆 宽带 和 数字 用 户 线路 

(DSL) 。 

3. 帧 中 继 、HDLC、ISDN 和 ATM 是 4 中 常见 的 WAN 技 术 。 

4. 独立 的 BSS 网 络 也 可 以 称 为 ad hoc 网 络 。 

5. HUB 床 架 了 一 个 类 似 于 传统 以 太 网 线路 的 环境 ， 在 其 中 ， 它 会 
将 所 有 的 消息 发 送 到 所 有 的 端口 ， 以 便 每 一 台 计算 机 都 可 以 看 到 这 些 
消息 。 交 换 机 则 维护 一 个 物理 地 址 表 ， 而 且 只 将 消息 发 送 给 有 接收 意 
图 的 计算 机 。 

练习 

拨号 连接 要 比 宽带 连接 (比如 DSL 和 电线 调制 解 调 器 ) 慢 。 在 使 
用 拨号 连接 时 ， 会 占用 电话 线 ， 因 此 ， 当 使 用 拨号 连接 的 计算 机 在 通 
常 在 每 一 次 使 用 完 网 络 之 后 ， 都 需要 与 网 络 断 开 。 这 让 Internet 的 便利 
性 大 打折 扣 。 

第 10 章 

问题 

1. CNAME; 它 用 来 将 一 个 别名 映射 到 A 记录 中 指定 的 一 个 名 称 
Es 

2. DNSSEC 使 用 一 个 DS 资 源 记 录 (存储 在 父 区 域 中 ) 来 识别 和 认 
证 存储 在 子 区 域 中 的 DNSKEY 资 源 记 录 。 将 DS 记 录 存 贮 在 父 区 域 中 可 
以 让 查询 遍历 必要 的 信任 链 ， 以 验证 查询 相应 的 真实 性 。 

3. 通过 在 LMHosts 文 件 中 推荐 加 一 个 include 语 句 ， 可 以 实现 集中 
管理 。 以 #INCLUDE 打 头 ， 并 提供 了 LMHosts 文 件 在 服务 器 上 的 位 置 
的 那 一 行 ， 也 提供 了 指向 中 央 文 件 的 一 个 链接 。 

4. 在 一 个 LMHosts 文 件 中 ， 在 所 需 条 目的 行 前 添加 关键 词 #PRE。 


第 11 章 

问题 

1. 许多 代理 服务 器 都 会 缓存 之 前 浏览 的 页 面 。 该 技术 被 称 为 内 
容 缓存 ， 它 可 以 让 代理 服务 器 在 本 地 提供 页 面 ， 因 此 要 比 从 Internet 上 
的 某 台 服务 器 请 求 页 面 更 快 。 

2. 许多 (甚至 大 多 数 ) 计算 机 程序 都 包含 隐藏 的 错误 或 不 安全 
的 代码 ， 它 们 会 允许 入 侵 者 通过 欺骗 程序 来 获得 访问 权限 。 这 些 错误 
通过 更 新 来 不 断 进 行 纠正 。 如 果 你 想 让 你 的 系统 保持 安全 状态 ， 则 需 
要 在 潜在 的 入 侵 者 找到 使 用 漏洞 进行 入 侵 的 方法 之 前 ， 先 行 安装 已 经 
弥补 了 该 漏洞 的 一 个 更 新 。 

3. SSL 在 传输 层 之 上 运行 ， 因 此 使 用 SSL 的 应 用 程序 必须 能 够 感 
知 到 SSL 接 口 。 而 IPSec 则 运行 在 协议 栈 的 低层 ， 应 用 程序 没有 必要 了 
解 IPSec。 从 问题 描述 的 场景 来 看 ，Ellecn 似 乎 应 该 使 用 IPSec。 

4. 什么 都 不 会 发 生 (我 们 希望 ，。 会 话 票 证 使 用 服务 器 的 长 期 
密 钥 进行 加 密 。 只 要 入 侵 者 不 能 访问 服务 器 的 长 期 密 钥 ， 就 不 发 破解 
票证 。 偶 然 发 现 服务 器 的 长 期 密 钥 的 入 侵 者 ， 可 以 解密 票证 ， 提 取 会 
话 密 钥 ， 然 后 才 有 可 能 冒充 服务 器 。 

第 12 章 

问题 

1. DCHP 中 继 代 理 。 

2. DNS 服 务 发 现 (DNS-SD) 使 用 PTR 记 录 来 装配 (assemble) AR 
务实 例 的 一 个 浏览 列表 ， 并 使 用 SRV 记 录 来 获得 用 于 服务 的 DNS 主机 
名 和 端口 号 。TXT 记 录 提 供 了 与 服务 有 关 的 附加 信息 。 

第 13 章 

问题 

1， 在 广播 中 ， 网 络 段 中 的 所 有 主机 都 可 以 读 取 信息 ， 即 使 信息 
与 其 无 关 。 而 多 播 则 将 接受 者 限制 到 一 个 主机 组 中 ， 该 主机 组 可 以 是 


本 地 网 络 中 所 有 主机 的 一 个 较 小 的 子 集 。 

2.IPv6 自 动 配置 可 以 根据 唯一 的 物理 (MAC) 地 址 生成 一 个 地 
址 。 主 机 在 采用 这 个 自动 配置 的 地 址 之 前 ， 需 要 先进 行 重复 地 址 检 
测 。 这 些 步 又 降低 了 地 址 冲突 的 可 能 性 。 

3. 6to4 隧 道 系统 使 用 的 IPv6 前 缀 是 2002::/16。 

4. Teredo 是 一 个 用 于 NAT 设 备 的 IPv6 隧 道 技 术 。 

第 14 章 

问题 

1. 当 网 络 停止 运行 时 ， 要 尝试 的 第 一 件 事情 是 ping 一 些 远程 站 


2. 使 用 arp-a (在 有 些 UNIX 系 统 上 是 arp -8g) 来 查看 ARP 缓 存 。 

3. 使 用 netstat -p tcp 来 获得 当前 的 TCP 连 接 列 表 。 

4. 使 用 netstat -来 查看 路 由 表 。 

5. 网 络 监视 器 、tcpdump 和 Wireshark 都 是 协议 分 析 器 。 

第 15 章 

问题 

1. Telnet 工具 以 明文 方式 传递 其 所 有 得 到 信息 ， 其 中 包括 密码 ， 
因此 是 不 安全 的 。 而 SSH 工 具 对 其 数据 进行 了 加 密 ， 因 此 要 比 Telnet 更 
加 安全 。 

2. Berkeley 的 r# 工 具 使 用 的 受信 访问 的 概念 。 

3. SNMP (简单 网 络 管理 协议 ) 使 用 了 MIB。 

4. SNMP 可 以 用 来 查看 特定 主机 上 正在 发 生 的 事情 ， 但 是 无 法 显 
示 整 个 网 络 上 正在 发 生 的 事情 。 

5. RMON 2 添加 了 监控 协议 栈 上 面 5 层 的 能 力 。 

练习 

1. 登录 一 台 远 程 机 器 的 3 种 方法 (按照 安全 级 别 由 高 到 低 ) 是 
SSH, Telnetálrlogino 


2. 与 接口 信息 相关 的 MIB 是 iso.org.dod.internet.mgmt.mb.inferface 
或 数字 .1.3.6.1.2.1.2。 

3.RMON 和 警告 组 的 地 址 是 iso.org.dod.internet.mgmt.mb.mon.alarm 
或 数字 .1.3.6.1.2.1.16.3。 

4. SNMP 的 缺点 包括 下 面 这 些 : 

> 无 法 查看 低层 协议 ; 

需要 一 个 运行 的 协议 栈 ; 

> 会 生成 沉重 的 网 络 流量 ; 

> 会 提供 大 量 难 以 进行 分 析 的 数据 ; 

无 法 提供 网 络 查看 。 

第 16 章 

问题 

1. put 命 令 是 将 一 个 文件 上 传 到 服务 器 的 基本 命令 ; 而 mput 命 令 可 
以 在 一 个 命令 行 中 将 多 个 文件 上 传 到 服务 器 。 

2. 不 能 。TFTP 只 能 传输 文件 。 无 法 使 用 TFTP 来 查看 远程 目录 。 

3. Samba 最 初 是 为 了 促进 与 Windows 系 统 的 互 操 作 性 而 设计 的 。 在 
Microsoft 使 用 的 SMB 文 件 服务 协议 中 ， 它 充当 一 个 开源 的 服务 器 和 客 
户 端 。CIFS 是 SMB 的 一 个 开放 标准 版 本 。Samba 文 持 CIFS， 尽 管 属于 
SMB 仍 然 在 在 Samba 社 区 广泛 使 用 。 

第 17 章 

问题 

1. 一 个 真正 的 一 级 网 络 都 具有 对 等 安排 功能 ， 可 以 让 它 与 所 有 
的 其 他 一 级 网 络 ， 以 免费 的 方式 共享 流量 。 二 级 网 络 可 能 也 有 一 些 对 
等 安排 功能 ， 但 是 可 能 也 需要 购买 访问 其 他 网 络 的 权限 。 这 些 分 类 只 
是 理论 上 的 ， 因 为 商业 提供 商 之 间 的 真正 的 安排 细节 是 不 对 公众 开放 
的 。 

2. scheme 指 定 了 读 取 URI 的 格式 ， 通 常 与 一 个 协议 或 服务 有 关 。 


3. Scheme 位 于 字符 串 开 头 的 冒号 双 斜 线 的 前 面 。 

4. 流行 的 scheme 包 括 http、https、ftp、1ldap、file、mailto 和 pop。 

5. index.html. 

第 18 章 

问题 

1. 如 果 服 务 器 和 浏览 器 被 配置 了 不 同 的 会 话 参 数 ， 则 协商 阶段 可 
以 让 它们 就 必要 的 公共 设置 达成 一 致 ， 以 进行 成 功 的 通信 。 

2. HTML 内 容 位 于 <HTML></HTML> 标 记 之 间 。 在 这 两 个 标记 内 
是 <HEAD> 部 分 和 <BODY> 部 分 。<HEAD> 部 分 包含 标题 、 类 型 和 控 
制 设置 。<BODY> 部 分 包含 将 要 显示 在 Web 浏览 器 窗口 中 的 内 容 。 规 
范 要 求 在 第 一 个 HTML 标记 之 前 有 一 个 ! DOCTYPE 语 句 ， 不 过 该 语 
句 经 常 被 忽略 。 

3. 该 场景 通常 是 通过 服务 器 端的 脚本 标 称 来 处 理 。 由 于 数据 库 位 
于 网 络 连 接 的 服务 器 端 ， 因 此 在 将 完整 的 代码 装配 在 服务 器 上 ， 效 率 
会 更 高 ， 也 更 安全 。 

4. 当然 ， 在 新 系统 中 会 发 生 许多 事情 ， 但 是 就 本 例 而 言 ， 很 有 可 
能 是 你 的 Web 浏 览 器 没有 被 配置 为 识别 和 读 取 PDF。 取 决 于 你 的 浏览 
器 和 操作 系统 ， 解 决 方案 是 安装 一 个 合适 的 浏览 器 插件 ， 或 者 是 将 一 
个 PDF 阅读 器 与 PDF 文件 类 型 关联 起 来 ， 这 样 你 的 浏览 器 就 知道 如 何 
处 理 这 些 文件 了 。 

第 19 章 

问题 

1. CMS 和 Web 服 务 器 完美 集成 ， 来 管理 和 发 布 Web 内 容 ; CMS 实 
质 上 是 Web 服务 器 系统 的 一 个 扩展 。 将 CMS 放置 到 一 台独 立 的 计算 机 
中 ， 会 产生 性 能 问题 ， 甚 至 会 引发 安全 问题 。 

2. 每 一 个 节点 都 可 以 充当 客户 端 和 服务 器 。 


3.RDF 三 元 组 类 似 于 一 个 简单 的 语句 ， 其 组 成 部 分 是 主体 、 谓 词 
和 对 象 。 

4. HTML5 将 很 多 像 Flash 这 样 的 工具 的 功能 (比如 绘图 和 视频 播 
放 ) 直接 集成 到 了 HTML 中 。 

第 20 章 

问题 

1. 模式 是 文档 使 用 的 一 个 通用 术语 ， 它 描述 了 XML 数据 集 的 结 
构 。 尽 管 当前 存在 几 种 模式 语言 ， 但 是 术语 “模式 ”也 专门 用 来 描述 使 
用 W3C 的 官方 XML 模 式 语言 编写 的 XSD 模 式 文件 。 

2. PUT 蔡 换 整个 资源 。 而 POST 则 只 将 用 来 更 新 资源 的 信息 发 送 到 


3. REST 强调 的 是 简单 、 完 整 的 操作 ， 它 可 以 让 系统 停留 在 一 个 
完整 的 可 预测 的 状态 中 。 而 PUT 方法 是 等 惊 的 ， 也 就 是 说 ， 无 论 某 个 
命令 执行 多 少 次 ， 相 同 的 行为 必定 会 产生 相同 的 结果 。 而 更 为 开放 的 
POST 方法 ， 可 能 只 更 新 记录 的 一 部 分 ， 或 者 是 造成 服务 器 所 执行 的 某 
些 任 意 变 化 ， 由 于 不 能 保证 等 蝴 性 ， 因 此 POST 方法 在 REST 架 构 中 的 
地 位 降低 。 

4. 由 于 REST 将 所 有 的 服务 器 操作 隐藏 在 服务 器 之 内 ， 远 离 了 接 
口 ， 因 此 它 可 以 提供 更 好 的 而 且 更 可 以 预见 的 安全 性 。 

第 21 章 

问题 

1. MIME 是 多 用 途 Internet 邮 件 扩展 ， 它 用 来 将 非 ASCII 附 件 编码 
为 邮件 消息 。 

2. STMP (简单 邮件 传输 协议 ) 用 来 发 送 消 息 。 

3. POP3 (邮局 协议 ) 或 IMAP (Internet 消 息 访问 协议 ) 用 来 从 用 
户 的 邮箱 中 检索 电子 邮件 消息 。 


4. 对 webmail 最 大 的 抱怨 是 因为 nternet 的 瓶颈 而 市 来 的 性 能 问 
题 。 

5. webmail 易于 使 用 和 管理 ， 因 此 对 非 技 术 用 来 说 是 一 个 不 错 的 
选择 。 因 为 它 使 用 的 是 HTTP， 因 此 可 以 穿越 防火 墙 (MSTMP, POP3 
和 IMAP 可 能 无 法 通过 防火 墙 ) 。 

最 后 ，webmail 使 得 用 户 可 以 通过 任何 接 入 到 Internet 的 计算 机 来 
查看 邮件 。 

第 22 章 

问题 

1. 缓冲 使 得 应 用 程序 可 以 使 用 恒定 的 速率 ， 将 声音 /视频 发 送 给 用 
户 ， 从 而 保证 了 声音 和 视频 的 流畅 性 和 自然 性 。 

2.RSTP (实时 流传 输 协 议 ) 可 以 让 终端 用 户 将 命令 发 送 到 流传 输 
服务 器 ， 就 像 远程 控制 那样 。 

3. SCTP 和 DCCP 都 是 面向 连接 的 。 

4. Podcast 通 过 RSS 来 交付 。 

5. SIP 是 会 话 初 始 协议 ， 它 用 于 开始 、 停 止 和 管理 一 个 通信 会 话 。 

第 23 章 

问题 

1. 由 于 它们 将 应 用 程序 从 客户 端 转移 到 服务 器 ， 因 此 在 使 用 最 
小 的 资源 来 运行 客户 端的 环境 中 ，SaaS 成 为 理想 之 选 。 

2. 或 许 你 可 以 注册 到 云 打印 服务 中 ， 这 样 ， 当 远程 用 户 取得 你 
的 许可 后 ， 就 可 以 使 用 你 的 打印 机 了 。 

3. 尽管 可 以 使 用 很 多 选项 (取决 于 具体 细节 ) ， 但 是 在 该 场景 
中 ， 它 只 需要 偶尔 使 用 处 理 功 能 ， 因 此 弹性 云 解决 方案 无 疑 更 好 。 

4. 在 云 中 运行 的 单个 应 用 程序 可 以 很 好 地 结合 PaaS 工 具 来 使 
用 。 有 多 个 PaaS 工 具 支 持 Java， 其 中 包括 Google App Engine, 


Microsoft Azure 和 Amazon Beanstalk. 


第 24 章 

问题 

1. 子 网 位 的 理想 位 数 取 决 于 子 网 的 数量 和 每 个 子 网 的 大 小 。 为 了 
进行 子 网 划分 而 借用 主机 的 位 数 时 ， 主 机 的 位 数 会 减少 。 此 时 ， 
Maruice 基于 现 有 的 网 络 条 件 做 出 了 一 个 判断 。 一 个 3 位 的 掩 码 可 以 让 
每 个 子 网 有 30 台 主机 。 

2. 一 个 2 位 的 掩 码 会 导致 主机 地 址 只 有 6 位 可 用 ， 也 就 是 说 ， 可 用 
的 主机 地 址 是 26 个 主机 地 址 减 去 全 0 的 地 址 和 全 1 的 地 址 ， 即 62 个 地 
址 。 两 个 子 网 位 会 生成 2? 个 或 4 个 可 用 的 子 网 (如 果 也 使 用 全 0 和 全 1 
的 子 网 ) ， 或 者 是 生成 2 个 子 网 (不 使 用 全 0 和 全 1 的 子 网 ) 。 

3. Maurice 需要 花费 时 间 来 单独 配置 每 一 个 主机 文件 ， 或 者 是 创 
妹 一 个 可 以 复制 网 络 上 主机 文件 的 脚本 。 而 且 ， 只 要 当 网 络 中 有 变动 
发 生 ， 就 必须 对 主机 文件 进行 更 新 。 
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